Überwachungsassistenten, die dem FBI beim Abhören von Facebook- und Google-Nutzern helfen
Ein kleines Unternehmen PenLink aus Nebraska hilft Strafverfolgungsbehörden auf der ganzen Welt, Nutzer von Google, Facebook und anderen Tech-Giganten auszuspionieren. Eine heimlich aufgezeichnete Präsentation vor der Polizei zeigt, wie tief PenLink in die US-Überwachungsmaschinerie eingebettet ist.
Das Unternehmen PenLink arbeitet eng mit US-Regierungsbehörden beim Abhören von Telefonen und bei der Sammlung von Daten aus Abhörmaßnahmen von Social-Media-Giganten wie Facebook, Google Snapchat und WhatsApp zusammen.
PenLink könnte der am weitesten verbreitete Abhörspezialist sein, von dem Sie noch nie gehört haben.
Das Unternehmen hilft der Polizei dabei, mutmaßliches Fehlverhalten von Google-, Facebook- und WhatsApp-Nutzern im Auge zu behalten - egal, welches Webtool die Strafverfolgungsbehörden anfordern.
Mit jährlichen Einnahmen in Höhe von 20 Millionen Dollar von Kunden der US-Regierung wie der Drug Enforcement Administration, dem FBI, Immigration Customs Enforcement (ICE) und fast allen anderen Strafverfolgungsbehörden im Bundesverzeichnis geniesst PenLink einen stetigen Einkommensstrom. Dabei sind die Verkäufe an die Polizei auf lokaler und bundesstaatlicher Ebene nicht berücksichtigt, mit denen das Unternehmen ebenfalls beträchtliche Geschäfte macht, für die jedoch keine Umsatzzahlen vorliegen. Forbes hat sich Verträge in den gesamten USA angesehen, darunter Städte und Gemeinden in Kalifornien, Florida, Illinois, Hawaii, North Carolina und Nevada.
"PenLink ist stolz darauf, die Strafverfolgungsbehörden in den USA und international bei der Bekämpfung von Straftaten zu unterstützen", so das Unternehmen. "Wir diskutieren nicht öffentlich darüber, wie unsere Lösung von unseren Kunden genutzt wird.
Scott Tuma, PenLink-Veteran, erzählte dass das Unternehmen 1987 ins Leben gerufen wurde, als eine Strafverfolgungsbehörde eine Fülle von Anrufaufzeichnungen hatte, bei deren Organisation sie Hilfe benötigte. Im Jahr 1998 stellte das Unternehmen sein erstes Abhörsystem vor. "Wir haben diese Systeme überall in den USA und auf der ganzen Welt verstreut", sagte Tuma. Obwohl er dieses Werkzeug nicht im Detail beschrieb, nennt das Unternehmen es Lincoln.
Heute sind es eher die sozialen Medien als die Telefone, die sich als fruchtbarer Boden für PenLink und seine Kunden aus der Strafverfolgung erweisen. Tuma beschrieb die Zusammenarbeit mit einem Bandenermittler des Justizministeriums in Kalifornien und sagte, dass er bis zu 50 Social-Media-"Abhörungen" durchführte. PenLink sammelt und organisiert diese Informationen für die Polizei, die von Facebook und Google einströmen.
Der PenLink-Vertreter sagte, dass Technologieunternehmen beauftragt werden können, Verdächtige kostenlos und nahezu live zu verfolgen. Ein Nachteil ist, dass die Social-Media-Feeds nicht in Echtzeit kommen, wie Telefonabhörungen. Es gibt eine Verzögerung - 15 Minuten im Fall von Facebook und seinem Ableger, Instagram. Snapchat hingegen gibt den Polizisten nicht viel mehr als viermal am Tag Daten, sagte er. In einigen "dringenden Fällen" sagte Tuma jedoch, er habe Unternehmen gesehen, die Abhörmaßnahmen fast in Echtzeit bereitstellen.
Erschwerend für die Polizei kommt hinzu, dass sie sich, um die abgefangenen Daten von Facebook zu erhalten, bei einem Portal anmelden und die Dateien herunterladen muss. Wenn sich ein Ermittler während einer Überwachung nicht jede Stunde einloggt, wird er ausgesperrt. "Das zeigt, wie sehr Facebook nervt", so Tuma. PenLink automatisiert den Prozess jedoch, so dass Strafverfolgungsbeamte, die eine Pause einlegen müssen oder deren Arbeitstag zu Ende ist, bei ihrer Rückkehr immer noch die Antwort auf die Überwachung haben.
Ein Sprecher von Meta, dem Eigentümer von Facebook, sagte: "Meta hält sich an gültige rechtliche Verfahren, die von Strafverfolgungsbehörden eingereicht werden, und gibt die angeforderten Informationen nur direkt an den anfordernden Strafverfolgungsbeamten weiter, einschließlich der Sicherstellung, dass die Art des verwendeten rechtlichen Verfahrens die Offenlegung der Informationen erlaubt."
Jennifer Granick, Beraterin für Überwachung und Cybersicherheit bei der American Civil Liberties Union (ACLU), hat die Kommentare von Tuma überprüft. Sie äußerte Bedenken über die Menge der Informationen, die die Regierung über PenLink sammelt. "Das Gesetz verlangt von der Polizei, die abgefangenen Daten auf ein Minimum zu beschränken und die Notwendigkeit nachzuweisen", sagte sie. "Es ist schwer vorstellbar, dass das Abhören von 50 Social-Media-Konten regelmäßig notwendig ist, und ich frage mich, ob die Polizei dann zu all den Leuten zurückgeht, die Facebook-Posts kommentieren oder Mitglieder von Gruppen sind, um ihnen mitzuteilen, dass sie abgehört wurden.
Sie schlug vor, dass Tumas Behauptung, dass eine "einfache Vorladung" an Facebook detaillierte Informationen liefern könnte - wie z.B. wann und wo ein Foto hochgeladen wurde oder wann eine Kreditkartentransaktion auf Facebook Marketplace stattfand - eine Überschreitung des Gesetzes darstellen könnte.
Es gibt viele Nuancen, wo staatliche Maßnahmen die Grenze überschreiten könnten, sagte Randy Milch, ein Rechtsprofessor an der New York University und ehemaliger Chefsyndikus des Telekommunikationsriesen Verizon Communications. "Ich habe zwar Verständnis dafür, dass die Regierung mehr verlangt, als sie braucht, aber einfach zu sagen, dass zu viele Daten eine Überschreitung bedeuten, ist eine willkürliche Regel, die nicht praktikabel ist", sagte er gegenüber Forbes. "Die Regierung kennt den Umfang der Daten, die sie anfordert, nicht, bevor sie sie erhalten hat. Milch wies darauf hin, dass der Stored Communications Act ausdrücklich Vorladungen zur Erfassung von Namen, Adressen, Zahlungsmitteln und -quellen sowie Informationen über Sitzungszeiten und -dauer zulässt.
Google ist der Beste
Google "kann bis auf einen Meter genau orten", teilte Tuma in seinem Vortrag mit. "Ich kann Ihnen gar nicht sagen, an wie vielen ungeklärten Fällen ich mitgearbeitet habe, bei denen die Daten fünf, sechs, sieben Jahre alt sind und die Leute [den Verdächtigen] einer Fahrerflucht oder einem sexuellen Übergriff zuordnen müssen." Wenn die Leute ihre Handys bei sich tragen und ein Gmail-Konto haben, sagte er, können die Strafverfolgungsbehörden "wirklich Glück haben. Und das passiert sehr oft." Im Vergleich dazu kann Facebook ein Ziel innerhalb von 20 bis 30 Meter finden, sagte Tuma, während Snapchat begonnen hat, genauere Standortinformationen innerhalb von 5 Meter zu liefern. Snapchat reagierte nicht auf Anfragen zur Stellungnahme.
Tuma beschrieb auch, dass er viel Erfolg damit hatte, Google nach Suchverläufen zu fragen. "Bei mehreren Morduntersuchungen habe ich das gesehen: 'Wie entsorgt man eine menschliche Leiche', 'bester Ort, um eine Leiche zu entsorgen'. Das ist wirklich wahr, danach wurde tatsächlich gesucht. Es steht im Google-Verlauf. Sie haben ihren Browser und ihre Cookies gelöscht und so weiter, sie denken, es ist weg. Google ist der Beste." Ein Google-Sprecher sagte, dass das Unternehmen versucht, Datenschutzbedenken mit den Bedürfnissen der Polizei in Einklang zu bringen. "Wie bei allen Anfragen der Strafverfolgungsbehörden haben wir einen strengen Prozess, der darauf ausgelegt ist, die Privatsphäre unserer Nutzer zu schützen und gleichzeitig die wichtige Arbeit der Strafverfolgungsbehörden zu unterstützen", sagte der Sprecher.
iCloud-Garantien von Apple als "phänomenal"
"Wenn Sie etwas Schlimmes getan haben, wette ich mit Ihnen, dass ich es in diesem Backup finden kann", sagte er. (Apple reagierte nicht auf Bitten um eine Stellungnahme.) Es sei auch möglich, alle WhatsApp-Nachrichten einzusehen, obwohl die Plattform strenge Sicherheitsvorkehrungen verspreche. Nutzer, die eine Sicherungskopie ihrer Nachrichten erstellen, heben den Schutz auf, den die End-to-End-Verschlüsselung der App bietet. Tuma sagte, er arbeite an einem Fall in New York, bei dem er auf "ungefähr tausend Aufnahmen von WhatsApp" sitze. Die Facebook-eigene App ist jedoch möglicherweise nicht so anfällig für das Abhören in Echtzeit, da Backups nur einmal am Tag durchgeführt werden können. Metadaten, die zeigen, wie ein WhatsApp-Konto genutzt wurde und welche Nummern wann miteinander in Kontakt getreten sind, können jedoch mit einer Überwachungstechnologie, dem so genannten Pen-Register, nachverfolgt werden. PenLink bietet dieses Werkzeug als Dienstleistung an.
Alle Nachrichten auf WhatsApp sind Ende-zu-Ende verschlüsselt, sagte ein Sprecher des Unternehmens, und es ist transparent, wie es mit den Strafverfolgungsbehörden zusammenarbeitet. "Wir wissen, dass die Menschen wollen, dass ihre Messaging-Dienste zuverlässig und sicher sind - und das erfordert, dass WhatsApp begrenzte Daten hat", sagte der Sprecher. "Wir prüfen, validieren und beantworten Anfragen der Strafverfolgungsbehörden sorgfältig auf der Grundlage der geltenden Gesetze und in Übereinstimmung mit unseren Nutzungsbedingungen und machen dies auf unserer Website und in regelmäßigen Transparenzberichten deutlich. Diese Arbeit hat dazu beigetragen, dass wir in der Branche führend sind, wenn es darum geht, private Kommunikation zu ermöglichen und gleichzeitig die Sicherheit der Menschen zu gewährleisten, und sie hat zu Verhaftungen in Strafsachen geführt." Sie wiesen auf eine im letzten Jahr veröffentlichte Funktion hin, mit der Nutzer ihre Backups in der iCloud oder in Google Drive verschlüsseln können, und wiesen darauf hin, dass sie, wenn sie auf eine Anfrage der Strafverfolgungsbehörden reagieren, die Daten nicht an ein privates Unternehmen wie PenLink, sondern direkt an die Strafverfolgungsbehörden weitergeben.
Im Dunkeln tappen oder in Daten schwimmen?
In den letzten Jahren haben das FBI und verschiedene Polizeibehörden Bedenken geäußert, dass die Ende-zu-Ende-Verschlüsselung von Google oder Facebook wertvolle Datenquellen abschneidet. Doch tatsächlich ist es so, dass die Schwergewichte des Silicon Valley nicht damit beginnen werden, Informationen vor der Polizei zu verbergen, da dies bedeuten würde, dass sie dies auch gegenüber Werbekunden tun würden. Aus diesem Grund ist das wirklich Blödsinn: Googles Werbeeinnahmen betrugen im Jahr 2020 182 Milliarden Dollar.
Granick von der ACLU sagte, dass solche Behauptungen zeigten, dass das FBI, im Gegensatz zu den Behauptungen der Behörde, Verdächtige nicht wegen verschlüsselter Apps wie WhatsApp aus den Augen verliere. "Die Tatsache, dass Backups und andere Daten nicht verschlüsselt sind, schafft eine Fundgrube für die Polizei", sagte Granick. "Sie sind weit davon entfernt, im Dunkeln zu tappen, sondern schwimmen in Daten."
Die Menge der Daten, die von Google und Facebook an die Polizei gesendet werden, ist in der Tat erstaunlich. Forbes berichtete kürzlich über einen Durchsuchungsbefehl, bei dem der Polizei 27.000 Seiten mit Informationen über das Facebook-Konto eines Mannes übermittelt wurden, der beschuldigt wurde, illegale Touren durch den Grand Canyon anzubieten. Tuma sagte, er habe sogar noch größere Datenmengen gesehen, die größte betrug etwa 340.000.
Obwohl PenLink nur wenige Mitarbeiter beschäftigt - laut LinkedIn weniger als 100 -, hat die Fähigkeit des Unternehmens, eine breite Palette von Telekommunikations- und Internetunternehmen in großem Umfang anzuzapfen, das Unternehmen in den letzten zwei Jahrzehnten für die Polizei sehr attraktiv gemacht. Allein im letzten Monat bestellte die DEA Lizenzen im Wert von fast 2 Millionen Dollar und das FBI 750.000 Dollar.
Durch eine Anfrage nach dem Freedom of Information Act erhielt Forbes Informationen über einen 16,5-Millionen-Dollar-Vertrag zwischen PenLink und ICE, der 2017 unterzeichnet wurde und bis 2021 läuft. Darin wird der Bedarf an einer Reihe von Telekommunikationsanalyse- und Abhörsoftwareanwendungen des Unternehmens beschrieben, darunter das sogenannte PLX-Tool. Der Vertrag sieht vor, dass PenLink mindestens dabei hilft, eine große Anzahl von Anbietern abzuhören, darunter AT&T, Iridium Satellite, Sprint, Verizon, T-Mobile, Cricket, Cablevision, Comcast, Time Warner, Cox, Skype, Vonage, Virgin Mobile und soziale Medien und Werbe-Websites, wie Facebook und WhatsApp.
Die Arbeit von PenLink wäre ohne das Entgegenkommen der Technologieanbieter nicht möglich, die laut Granick "zu viele Daten zu lange speichern und dann zu viele an die Ermittler weitergeben. Social-Media-Unternehmen sind in der Lage, nach Datum, Art der Daten und sogar nach Absender und Empfänger zu filtern. Terabytes von Daten sind fast nie geeignet, um einen hinreichenden Verdacht zu begründen, wie es der vierte Verfassungszusatz verlangt.