Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

14.04.2014
von: Michael Moorstedt

Metadaten - die Hexerei?

Keine Aussagekraft? Von wegen!

Meta, also. Ein nichtssagendes bis geheimnisvolles Präfix, das dem aufgebrachten Volk bedeuten soll, dass alles nur halb so schlimm sei. Aufgezeichnet werden nur die beteiligten Nummern, die Länge und den Zeitpunkt der Gespräche. All die kleinen schmutzigen Geheimnisse, die der unbescholtene Bürger in seinem Leben so bespricht, seien für den Staat hingegen nicht interessant, hiess es.

Naturgemäss widersprechen Datenschützer diesen Beschwichtigungen. So schrieb Matt Blaze, Kryptografie-Professor an der Universität von Pennsylvania: "Privatsphäre besteht aus mehr als nur dem Klang unserer Stimmen. Der Inhalt mag das sein, was wir sagen. Metadaten sind, was wir tun."

Der Sicherheitsexperte Bruce Schneier sekundierte im September: "Metadaten sind die Message." Die impliziten, oftmals verborgenen Beziehungen der Bürger untereinander, der soziale Kontext des Einzelnen und von Gruppen - all das werde durch Metadaten abgebildet.

Welche Seite hat nun recht, Datenschützer oder Datenscheffler? Ein wenig Empirie würde der Diskussion nicht schaden. Deshalb arbeitete ein Team des Center for Internet and Society der Universität Stanford rund um den renommierten IT-Sicherheitsforscher Jonathan Mayer seit vergangenem November an einer Studie, um herauszufinden, wie relevant für den Bruch der Privatsphäre die Metadaten nun wirklich sind.
Ihre Prämisse lautete: Wer herausfinden will, wie viel die NSA weiss, muss sich nur so wie die NSA verhalten.

Um die Mainway-Datenbank zu simulieren, deren Input direkt von den Telekommunikationsanbietern stammt, programmierte man eine App namens Metaphone, sozusagen eine zivile Version des Softwarearsenals des Geheimdienstes. Dieses Programm wurde in den App-Store für Smartphones mit dem Android-Betriebssystem geladen. Die Probanden wurden gebeten, die App auf ihren Telefonen zu installieren, diese also freiwillig mit Schnüffel-Software zu infizieren.

Metaphone ist in der Lage, genau die Verbindungs-, Standort- und Kurznachrichtendaten zu speichern, die auch auf den NSA-Servern landen. Gleichzeitig hat die App Zugriff auf den Facebook-Account der Studienteilnehmer.

Mayer und seine Kollegen haben nun ihre Ergebnisse veröffentlicht. In einer ersten Fingerübung identifizierte das Stanford-Team die Lebensgefährten der Studienteilnehmer. Dies fiel ihnen nicht weiter schwer, Paare telefonieren schliesslich häufig, lange und auch zu späten Uhrzeiten miteinander.
Es war dem Stanford-Team auch möglich, auf die Religionszugehörigkeiten von 73 Prozent aller Teilnehmer zu schliessen. Ausserdem fanden die Forscher heraus, dass alle Teilnehmer, egal, ob sie sich gegenseitig kannten oder nicht, über höchstens vier Kontakte miteinander in Verbindung standen. Eine nicht ganz triviale Tatsache, denn die NSA etwa darf laut US-Gesetz bei Überwachungen von "gefährlichen" Personen deren Kontakte bis zum dritten Grad mit einbeziehen.

Auch die angeblich so anonymen Nummern ihren Besitzern zuzuordnen war kein Hexenwerk - selbst wenn man nicht über die Ressourcen des mächtigsten Geheimdienstes der Welt verfügt. Die Stanford-Forscher konnten mehr als ein Viertel der gewählten Anschlüsse allein durch eine automatisierte Suche in öffentlich zugänglichen Datenbanken wie dem Online-Branchenverzeichnis Yelp, Google Places oder schlicht und einfach Facebook mit dem dazugehörigen Namen versehen. Mit ein wenig menschlicher Arbeitskraft waren es nach einer Stunde Internet-Recherche knapp drei Viertel aller Nummern.

In einem letzten Schritt benutzten Mayer und seine Kollegen die frei zugängliche, aber kostenpflichtige Personensuchmaschine Intelius, und damit kletterte die Zahl der eindeutig identifizierten Anschlüsse auf 91 Prozent. "Wenn ein paar Akademiker so schnell so weit kommen, ist es nur schwer vorstellbar, dass die NSA irgendwelche Probleme haben könnte, die überwältigende Mehrheit der Nummern zu identifizieren", schreiben die Forscher in ihrem Abschlussbericht.

Mit diesem Wissen und nach einer genaueren Durchsicht der Verbindungen stiessen die Forscher dann auf allerhand menschliche Verfehlungen. Nur anhand der Metadaten konnten sie auf Geschlechtskrankheiten, aussereheliche Affären, Waffenbesitz, Drogenhandel schliessen.
In ihren Datenbeständen offenbarten sich in harten Fakten die schlimmsten Befürchtungen der Bürgerrechtler. Da war etwa ein Studienteilnehmer, der im Verlauf von drei Wochen erst bei einem Baumarkt, dann bei einem Gartencenter und zum Schluss noch bei einem Laden für Cannabiszubehör anrief.

Ein anderer telefonierte erst mit einem Waffengeschäft, das auf das halb automatische Sturmgewehr AR-15 spezialisiert ist, und dann in ausufernden Gesprächen mit dem Kundendienst des Herstellers der Waffe.
Andere Anrufe gingen an Familienplanungsorganisationen, Scheidungsanwälte, an die Anonymen Alkoholiker, Gewerkschaften, Strip-Clubs, Parteizentralen oder Abtreibungskliniken.
In manchen Fällen schienen die offenbarten Verbindungen und die dahinterliegenden menschlichen Schicksale derart intim zu sein, dass das Forscherteam ihnen nicht weiter nachgehen wollte und davon absah, die Teilnehmer für eine Bestätigung ihrer Vermutungen zu kontaktieren.

Man habe "nicht damit gerechnet", so die Forscher, für die eine oder die andere Seite der Argumentation grossartige Beweise zu finden, schliesslich sei die Gruppe der Probanden mit etwas mehr als 500 Nutzern vergleichsweise klein und die Überwachung auf fünf Monate begrenzt gewesen.

Doch das Gegenteil war der Fall: Die vermeintlich anonymen Metadaten gaben Geheimnisse preis, die man wohl kaum einer staatlichen Datenbank anvertrauen will. Und man kann davon ausgehen, dass noch umso mehr zu erfahren ist, je länger der Beobachtungszeitraum und je grösser die Zahl der Anschlüsse ist. Kein Wunder also, dass die NSA milliardenfach Verbindungsdaten über mindestens fünf Jahre hinweg speichert.
"Wer die Nadel finden will, benötigt einen Heuhaufen", sagte einmal der scheidende NSA-Chef Keith Alexander.

Quelle; Selektion aus - Sueddeutsche.de; Michael Moorstedt;


Security-Finder Schweiz: Newsletter