CIA nimmt Smartphone-App-Daten ins Visier     Kit Klarenberg

CIA Targeting Smartphone App Data

The same agencies that used and abused private user data with total impunity for years are being granted responsibility for crafting their own internal policies for what is and isn’t acceptable to intercept, analyse, exploit, and act upon.

CIA nimmt Smartphone-App-Daten ins Visier

    Kit Klarenberg
Quelle: Al Mayadeen Englisch

19. Mai 2024
x

Dieselben Behörden, die jahrelang völlig ungestraft private Nutzerdaten verwendet und missbraucht haben, erhalten die Verantwortung für die Ausarbeitung ihrer eigenen internen Richtlinien, die festlegen, was abgefangen, analysiert, ausgewertet und weiterverarbeitet werden darf und was nicht.

Die Direktorin der Nationalen Nachrichtendienste (DNI) Avril Haines, die für 18 verschiedene Agenturen zuständig ist, die die breitere „Nachrichtendienstgemeinschaft“ bilden – darunter die CIA, das FBI und die NSA – hat einen „politischen Rahmen für kommerziell verfügbare Informationen“ veröffentlicht. Es ist nicht nur die allererste öffentliche Bestätigung eines US-Regierungsbeamten, dass staatliche Spionageeinrichtungen umfangreiche Daten über Privatpersonen von Drittanbietern erwerben, sondern das Eingeständnis dieser Ausbeute ist äußerst heikel. Zwar werden angeblich Grenzen für die Nutzung dieser Informationen durch die Spione gesetzt, aber die Details sind vage oder gar nicht vorhanden.

„Kommerziell verfügbare Informationen“ (Commercially Available Information, CAI) sind Daten, die über Einzelpersonen gesammelt werden, in der Regel über ihre Smartphones und die von ihnen verwendeten Apps, die von Dritten verkauft werden. Durch verschiedene Tricks und die rücksichtslose Ausnutzung von Gesetzeslücken gelangten die US-Geheimdienste in den Besitz von Informationen, auf die der Durchschnittsbürger keinen Zugriff hat und für die normalerweise ein gerichtlich genehmigter Durchsuchungsbefehl erforderlich wäre. Durch den Kauf dieser Daten von privaten Maklern können die Spionagebehörden jedoch behaupten, dass diese Schnüffelei auf „öffentlich zugänglichen“ Aufzeichnungen beruht.

Eine besonders ergiebige Quelle für CAI sind Daten, die aus der digitalen Werbung gewonnen werden. In-App- und Website-Werbeplätze werden auf Echtzeitbörsen (RTB) verkauft, wobei Standort- und andere Nutzerdaten oft als Bonus enthalten sind, um eine optimale Ausrichtung der Werbung zu gewährleisten. Viele Datenmakler geben sich als Werbetreibende aus, um die Inserate nach Nutzerinformationen zu durchsuchen und diese dann gewinnbringend weiterzuverkaufen. Der Wert dieser Daten und die bösartigen Verwendungsmöglichkeiten sind enorm.

So nutzte beispielsweise ein Geheimdienstunternehmen die von der Dating-App Grindr gewonnenen Daten, um die Bewegungen schwuler Regierungsmitarbeiter zu verfolgen. RTB-Daten wurden auch von Abtreibungsgegnern verwendet, um Frauen zu verfolgen, die in den USA Kliniken von Planned Parenthood besuchen. Darüber hinaus haben RTB-Daten dazu beigetragen, ein Dossier über die Partner des Kinderhändlers Jeffrey Epstein zu erstellen, indem Besitzer von Smartphone-Geräten, die seine Privatinsel besuchten, zu Adressen in den USA und anderen Ländern zurückverfolgt wurden.
Persönliche Attribute

Wie Haines in seinem Rahmenwerk feststellt, sammeln und aggregieren kommerzielle Einrichtungen derzeit eine noch nie dagewesene Menge an personenbezogenen Daten“ aus einer Vielzahl von Quellen“. Dazu gehören „Handys, Autos, Haushaltsgeräte und andere persönliche Geräte“. Diese Informationen werden dann „einer Reihe von Käufern zur Verfügung gestellt, darunter gewinnorientierte und gemeinnützige Einrichtungen, ausländische Gegner sowie inländische und grenzüberschreitende Organisationen“. Die US-Geheimdienste“, so räumt der Direktor ein, nutzen routinemäßig die Möglichkeit, auf diese CAI zuzugreifen, sie zu sammeln und zu verarbeiten“.

CAI werden routinemäßig zur Erfüllung von Aufgaben verwendet, und die Informationen sind oft von entscheidendem nachrichtendienstlichem Wert“, so Haines. Dennoch „können diese Datensätze sensible und intime persönliche Details und Aktivitäten offenbaren“, räumt sie ein. Die zugegebene Fülle an Daten, auf die CIA und Co. über Drittanbieter zugreifen können, ist geradezu beunruhigend. Zum Beispiel:

„Persönliche Attribute, Bedingungen oder Identifikatoren, die auf eine oder mehrere bestimmte US-Personen zurückgeführt werden können, [einschließlich] Rasse oder ethnische Zugehörigkeit, politische Meinungen, religiöse Überzeugungen, sexuelle Orientierung, Geschlechtsidentität, medizinische oder genetische Informationen, Finanzdaten oder andere Daten, deren Offenlegung ein ähnliches Potenzial hätte, der oder den durch die Daten beschriebenen Person(en) erheblichen Schaden, Verlegenheit, Unannehmlichkeiten oder Ungerechtigkeit zuzufügen.“

Darüber hinaus können CAI „Daten umfassen, die die sensiblen Aktivitäten“ von Zielpersonen und -gruppen erfassen. „Sensible Aktivitäten“ sind definiert als solche, „die über einen längeren Zeitraum hinweg ein Lebensmuster erkennen lassen, persönliche Zugehörigkeiten, Vorlieben oder Identifizierungsmerkmale offenlegen, die Vorhersage künftiger Handlungen erleichtern, gezielte Aktivitäten ermöglichen und die Ausübung individueller Rechte und Freiheiten offenlegen.“ Erschreckend – aber Haines‘ Rahmenwerk bietet wenig bis gar keine klaren Anhaltspunkte dafür, wie der Erwerb und die Verwendung von CAI durch US-Geheimdienste eingeschränkt werden soll.
Verfolgung von Nutzern in ECHTZEIT

In dem Dokument wird behauptet, dass „zusätzliche Klarheit“ die Privatsphäre der Bürger schützen wird, obwohl der Inhalt des Dokuments dies nicht vorsieht. Beunruhigend ist auch, dass die Spionagebehörden selbst die Aufgabe haben, „Schutzmaßnahmen zu formulieren, die auf die Sensibilität“ der von ihnen gesammelten CAI zugeschnitten sind, und jährliche Berichte über die Verwendung dieser Daten zu erstellen. Die Nachrichtendienste sind unter keinen Umständen verpflichtet, alte gekaufte Daten zu löschen – auch nicht, wenn sie fälschlicherweise erhoben wurden – und, was besonders besorgniserregend ist, es gibt keine Beschränkungen dafür, welche Informationen gekauft werden können und welche nicht.

Dies ist besonders besorgniserregend, da es offensichtlich ist, dass bestimmte Smartphone-Apps bereit sind, Anweisungen von privaten Nachrichtendiensten und Datenmaklern darüber anzunehmen, welche Informationen über ihre Nutzer gesammelt werden sollen, die dann über Dritte an US-Spionageunternehmen weitergegeben werden. Es wurde bestätigt, dass MuslimPro, das einen täglichen Gebetskalender und einen nach Mekka ausgerichteten Kompass anbietet, auf direkten Wunsch eines Brokers heimlich damit begonnen hat, die Standorte der Nutzer zu verfolgen, der diese Informationen anschließend an Regierungskunden weiterverkaufte.

Andere Makler bedienen überwiegend oder ausschließlich staatliche Organisationen. Dazu gehören Babel Street – ein „KI-gestütztes Daten-zu-Wissen-Unternehmen“ -, das US-Behörden wie DEA, ICE, IRS, Secret Service und Finanzministerium mit Standortdaten versorgt, sowie das „integrierte Kommunikationsunternehmen“ Barbaricum. Ein 5,5-Millionen-Dollar-Vertrag, den das Unternehmen 2020 von der ICE erhielt, bezieht sich auf seine Fähigkeit, „Personen über das Standard-Geotagging hinaus zu lokalisieren“, „alle Social-Media-Aktivitäten zu überwachen und zu analysieren“, und zwar über jede Plattform hinweg, einschließlich „ausländischer/Dark-Web/Deep-Web-Social-Media-Netzwerke in ECHTZEIT [Hervorhebung im Original]“.

An anderer Stelle bezieht sich der Vertrag darauf, wie Barbaricum „psychologische Profile“ von Zielpersonen erstellen und „feststellen kann, ob ein Nutzer Nachrichten gelöscht hat, und Inhalte von gelöschten Konten und/oder gelöschten Nachrichten bereitstellen kann.“ Vor der Veröffentlichung des „politischen Rahmens“ des Direktors der Nationalen Nachrichtendienste war das Ausmaß der CAI-Spionageaktivitäten durch US-Spione unbekannt. Es war notwendig, dass unabhängige Forscher und Kampagnengruppen einen groben Überblick aus den wenigen öffentlich zugänglichen Aufzeichnungen zusammenstellten.

Jetzt wird denselben Behörden, die jahrelang völlig ungestraft private Nutzerdaten verwendet und missbraucht haben, die Verantwortung für die Ausarbeitung ihrer eigenen internen Richtlinien darüber übertragen, was abgefangen, analysiert, ausgewertet und weiterverarbeitet werden darf und was nicht. Haben Sie Angst. Habt große Angst.
Übersetzt mit deepl.com