Autor: kantorkel

BKA: Biometrische Marktforschung ohne Rechtsgrundlage

Das BKA hat mehrere Millionen Gesichtsbilder aus INPOL-Z ohne Rechtsgrundlage an Fraunhofer weitergegeben. Dagegen klagt ein Betroffener mit Unterstützung des CCC.

Hessisches LKA testet Pimeyes

In den Jahren 2021 und 2022 hat das Hessische LKA die Gesichtersuchmaschine Pimeyes getestet.

Der Hessische Datenschutzbeauftragte wurde dabei nicht informiert. Es gab auch keine Vereinbarung zur Auftragsdatenvereinbarung. Pimeyes wurde nicht ins Verfahrensverzeichnis aufgenommen. Es wurden keine Maßnahmen zur Sicherstellung der Rechte Betroffener getroffen.

Innenminister Peter Beuth meint, dass „die hessische Polizei Systeme zur automatischen Datenverarbeitung nur dann in den regulären Wirkbetrieb überführt, wenn die für einen Einsatz notwendigen rechtlichen Voraussetzungen erfüllt sind.“ Bei einem Testbetrieb schert sich die Hessische Polizei offenbar weniger um die notwendigen rechtlichen Voraussetzungen.

Journalisten nutzen Pimeyes und helfen der Polizei

Ein Team um die Journalisten Khesrau Behroz und Patrick Stegemann sowie Michael Colborne vom Recherche-Netzwerk Bellingcat halfen der Polizei. Obwohl Gesichtersuchmaschinen wie Pimeyes und Clearview AI in der EU illegal sind, luden sie Fotos vom ehemaligen RAF-Mitglied Daniela Klette bei Pimeyes hoch. Damit wurde Klette auf der Webseite eines Capoeira-Vereins in Berlin identifiziert. Ihre Rechercheergebnisse wurden im Podcast Legion: Most Wanted im Dezember 2023 veröffentlicht. Wenige Wochen später wurde Klette festgenommen.

Die GdP fordert

Wie erwartet meldet sich die Gewerkschaft der Polizei (GdP) nach dem schlimmen Messerangriff in Hamburg, um einmal mehr einen massiven Grundrechtseingriff zu fordern.

Bereits in der Vergangenheit forderte die GdP u.a. Vorratsdatenspeicherung, Videoüberwachung, noch mehr Videoüberwachung, Bodycams, verdachtsunabhängige Kontrollen und Gesichtserkennung. Zu viele dieser Forderungen wurden erfüllt.

Doch offenbar ließen sich soziale Probleme bisher nicht mit dem Einsatz von immer mehr Überwachung lösen. Dennoch nutzt die Gewerkschaft auch den jüngsten Angriff, um noch mehr Überwachung zu fordern ‒ in der bizarren Hoffnung, dass die sozialen Probleme mit dem Einsatz von nur noch etwas mehr Technik gelöst werden.

Die aktuelle Forderung nach dem Einsatz von Verhaltenserkennung suggeriert, dass eine KI Straftaten verhindern könnte, noch bevor sie passieren. Sie erweckt den Eindruck technologischer Objektivität, obwohl in Wahrheit fehlerhafte, intransparente und diskriminierende Systeme eingesetzt werden. Diese Systeme schaffen kein Mehr an Sicherheit, sondern nur eine Kontrolle aller. Die GdP verkauft wieder ein trügerisches Sicherheitsgefühl, liefert aber nur Totalüberwachung.

Den Überwachungsforderungen der GdP sollte nicht unkommentiert Raum gegeben werden.

Die AFD Hamburg betreibt niemals nie nicht briefwahl-hamburg.de

Jemand betrieb bis gestern unter briefwahl-hamburg.de eine Weiterleitung auf die Webseite der Hamburger AFD. Das ist unschön, denn Briefwahlanträge können in Hamburg unter briefwahl.hamburg.de gestellt werden. Dies ist nun nach vier Jahren aufgefallen. Die AFD gibt sich natürlich unschuldig und hat angeblich keine Ahnung, wer dahintersteckt. Spoiler: Es könnte sich lohnen, Herrn Moritz L., ehemaliges Bezirksvorstandsmitglied der AfD Hamburg-Nord und Gründungsmitglied des Hamburger AfD-Landesverbands, zu fragen.

Tragen wir mal zusammen:

1. Die Domain briefwahl-hamburg.de zeigte in der Vergangenheit auf die IP-Adressen 88.99.56.57 und 88.99.139.237. [Quelle]

88.99.56.57 Hetzner Online GmbH 2023-08-26 – 2023-09-07
88.99.139.237 Hetzner Online GmbH 2021-09-02 – 2023-08-26
5.9.113.177 Hetzner Online GmbH 2021-03-11 – 2021-09-02

2. Die reverse DNS-Einträge für diese IP-Adressen lauten heute s1. bzw. s2.alternative-hamburg.net und früher hamburg-intern.net [Quelle].

3. Die Domain hamburg-intern.net zeigte in der Vergangenheit ebenfalls auf die IP-Adressen 88.99.56.57 und 88.99.139.237. Und das auch noch zu ähnlichen Zeiträumen wie briefwahl-hamburg.de. [Quelle]

88.99.56.57 Hetzner Online GmbH 2023-07-06 – 2023-09-04
88.99.139.237 Hetzner Online GmbH 2022-12-12 – 2023-07-06

4. Der Whois-Eintrag für briefwahl-hamburg.de wurde zuletzt am 02.09.2021 geändert.

$ whois briefwahl-hamburg.de

Domain: briefwahl-hamburg.de
Nserver: ed.ns.cloudflare.com
Nserver: may.ns.cloudflare.com
Status: connect
Changed: 2021-09-02T13:55:18+02:00

5. Als technischer Kontakt für hamburg-intern.net fungierte ‒ Überraschung ‒ Herr Moritz L.

Das alles ist natürlich kein Beweis, aber ein möglicher Hinweis.

Der Hansaplatz-Versuch war kein Erfolg

Die Hamburger Polizei experimentiert am Hansaplatz mit KI, genauer mit Verhaltenserkennung. KI soll unerwünschtes Verhalten erkennen und die Polizei benachrichtigen. Die Polizei darf ihren Versuch selbst evaluieren, also wurden selbstverständlich alle Ziele erreicht. Zum Glück heißt es im Koalitionsvertrag von SPD und Grüne im Abschnitt Digitalisierung und gesellschaftliche Verantwortung:

Wir werden beim Einsatz von KI-Anwendungen in Hamburger Behörden sicherstellen, dass grundsätzlich Transparenz, Nachvollziehbarkeit und Überprüfbarkeit gegeben sind. Wo es fachlich vertretbar ist, sollen von bzw. für die Hamburger Verwaltung entwickelte Algorithmen öffentlich verfügbar gemacht werden. KI-Trainingsdaten sollen in der Kontrolle der Behörden verbleiben, soweit diese nicht im Rahmen eines Datenaustausches in größere Datenpools eingebracht werden. Zudem wollen wir einen behördenübergreifenden Standard zur Überprüfung der Diskriminierungsfreiheit bei KI und Algorithmen einführen, damit die Souveränität über die Verfahren bewahrt wird.

Wir können also Transparenz erwarten, vielleicht sogar einen Blick in die Trainingsdaten werfen und damit nachvollziehen und überprüfen, ob der Versuch tatsächlich so erfolgreich war wie behauptet.

Leider wurde meine Transparenzanfrage zu dem Projekt über ein Jahr lang nicht beantwortet. Und auch dann wurde nur ein kleiner Teil der angefragten Dokumente zur Verfügung gestellt. In diese Dokumente, Evaluations- und Projektabschlussbericht, schauen wir nun einmal rein.

„Der Hansaplatz-Versuch war kein Erfolg“ weiterlesen

Law enforcement undermines Tor

Few weeks ago, the German political magazine Panorama and STRG_F reported that law enforcement agencies infiltrated the Tor network in order to expose criminals. The reporters had access to documents showing four successful deanonymizations. I was given the chance to review some documents. In this post, I am highlighting publicly documented key findings.

Findings

  • 2024-09-12: Telefónica implements IP Catching
    • Frankfurt District Court orders Telefónica (O2) to surveil its customers for up to three months
    • Telefónica reports all customers connecting to a specific Tor entry relay named by the German Federal Criminal Police Office (Bundeskriminalamt, BKA). This is called IP catching
    • After a few days, the measure is completed successfully
    • Data of unsuspects was allegedly deleted immediately and not transmitted to law enforcement authorities. It remains unclear how this can happen without already knowing the suspect
    • There is no legal basis for IP catching. Telefónica still claims to be obliged to implement the measure
  • 2024-09-16: First statement of the Tor Project
    • Pinpointing Tor entry relays of onion services to successfully deanonymize Tor users
    • Timing analyses in combination with broad and long-term monitoring of Tor relay
    • V2 and V3 onion addresses were affected, at least between 2019/Q3 and 2021/Q2
    • nusenu references KAX17
  • 2024-09-18: Journalists detail one case
    • Operation Liberty Lane is referenced
    • Four successful measures [=deanonymizations] in one investigation
      • 2x identification of Ricochet users
      • 2x further measures
    • Deanonymization is based on timing analysis
    • It’s not a classic software vulnerability that is exploited
    • Tor Project agrees that nothing indicates that a vulnerability in the Tor browser is exploited. Problem: The attack works even though the Tor software is working properly
    • Sources speak of widespread monitoring of Tor relays
    • Number of surveilled Tor relays in Germany has risen sharply in recent years
  • 2024-09-18: The second statement of the Tor Project gives the impression that only Ricochet is affected
  • 2024-09-25: Interview with Daniel Moßbrucker
    • More and more Tor relays in Germany are under surveillance for longer and longer periods, in such a way that apparently data has been used for timing analysis
    • Deanonymization takes some time. Tor users are not deanonymized by the authorities in the blink of an eye
    • Not only Ricochet is affected, but twice also normal v3 Onion Services
    • Timing analyses was always possible when, to put it simply, there was „little traffic“ on an onion service and only a few packets were transmitted, which could then be assigned to a specific user. On whistleblowing platforms, there is usually little traffic until a source decides to submit data
    • The journalists first reached out to Ricochet in July 2023, mentioning cases of deanonymization of Tor users by revealing their entry relays. Ricochet immediately informed the Tor Project

Media reports