Ab dem 1.Juli 2017 sind die Verkäufer*innen von SIM-Karten verpflichtet, von ihren Kunden die persönlichen Daten mittels einer Kopie des Personalausweises zu erfassen und dem Staat zur Verfügung zu stellen. Hintergrund ist die Furcht von Thomas de Maiziere, das ansonsten Terrorist*innen anonym telefonieren könnten. Ergebnis der Untersuchung im ersten Teil unserer Serie zum anonymen Telefonieren war, das wir beim Telefonieren nur sehr schwer echte Anonymität hinbekommen. Lediglich eine höchstens wie auch immer geartete „faktische“ oder formale Anonymität erscheint realistisch machbar ohne krasse Veränderungen des Nutzer*innenverhaltens. Doch was ist diese Pseudonymität wert? Wovor schützt diese Pseudoanonymität?

Angriffe auf Pseudonyme
Es gibt zwei Arten von Angriffen auf Pseudonyme, die klassischerweise gegen Oppositionelle eingesetzt werden. Zum einen der gezielte Angriff und das sogenannte „Schleppnetz-Verfahren“. Beide seien im Folgenden kurz dargestellt, auf ihre Relevanz und auf Gegenmaßnahmen untersucht.

Agent*innenjagd
Im ersten Teil erwähnten wir bereits die Agent*innenjagd des BKA und erklärten, wie man damit an die Mobilfunknummer von Thomas „Donald Duck“ de Maiziere käme. Dieses Vorgehen ist ein gezielter Angriff. Voraussetzung dafür ist, dass die Ermittlungsbehörden in diesem Fall bereits eine relativ klare Vorstellung davon haben, wen sie haben wollen (in diesem Beispiel z.B. Thomas „Donald Duck“). Die gängigste Methode ist, sich die Verbindungsdaten mehrere Orte von Zeiten geben zu lassen, an denen man vermutet, dass sich die Zielperson dort aufgehalten hat. Und dann dann guckt man einfach, welche Gerätenummern (IMSI) und SIM-Nummern man überall hat. Eine Variante desselben Angriffes ist es, ein mobiles Einsatzkommando (MEK) hinter einer Zielperson herzuschicken. Und die sollen dann einfach an mehreren Orten, wo sie definitiv Sichtkontakt zur Zielperson haben, entweder die Zeit notieren, damit man gezielt in den Verbindungsdaten suchen kann, oder das MEK schmeißt gleich selbst den IMSI-Catcher an. Das Landeskriminalamt (LKA) von Schleswig-Holstein (SH) war 2014 noch zu doof in Verbindungsdaten nicht nur nach SIM-Nummern, sondern auch nach IMSI-Nummern zu suchen, aber das dürfte sich zumindest bei den damals betroffenen Sacharbeiter*innen geändert haben. Wird der Angriff im Gegensatz zum Rumgestümpere beim LKA SH sauber durchgeführt, gibt’s kaum ein Entrinnen gegen das Aufdecken der Frage, welche Handys der Zielperson gehört.

Das Schleppnetz
Das andere relevante Szenario ist das Schleppnetz-Szenario. Dabei erheben die Verunsicherungsbehörden massiv Daten, kombinieren dies mit anderen Datensätzen oder anderen angeblichen „Erkenntnissen“ und gucken mal, was passiert. Dafür schauen wir uns ein paar Beispiele an.

Schleppnetz vorm G8-Gipfel
Ein Beispiel wurde nach dem G8-Gipfel 2007 prominent. Zwei Wochen vor dem G8-Gipfel traten die Verunsicherungs- und Terrorbehörden dieser Republik landauf- landab Türen von linken projekten und Personen ein. Unter anderem der Soziologe Andrej Holm verschwand für Wochen im Keller der Bundesstaatsanwaltschaft in Karlsruhe, weil ihm vorgeworfen wurde, der ideologische Anführer einer deutschlandweit agierenden Terrorgruppe zu sein. Eine der Terrorzellen, die er angeblich kommandierte, wohnte in der beschaulichen Kleinstadt Bad Oldesloe bei Hamburg.

Keine belastbaren Ermittlungsergebnisse
In Bad Oldesloe befindet sich auch der Panzerhersteller HaKo. Bei dieser Firma kam es 2006 zu einem Brandanschlag. Das LKA übernimmt die Ermittlungen und findet: Nichts. Also macht es eine Funkzellenabfrage und lässt sich die Verbindungsdaten geben. Ergebnis: Nichts. Erst als das LKA die Verbindungsdaten mit ihrer Kartei „Gewalttäter links“ abgleichen, finden sie einen wegen Demo-Vergehen aufgefallenen jungen Mann, den sie der „Antifa“ zuordnen. Dieser hat in der fraglichen Nacht mit einem Kumpel und einer Freundin telefoniert. Und fertig ist die Terrorgruppe. (wer jetzt findet, dass das LKA SH einen völligen Sockenschuss hat, hat den Vorgang verstanden…).

Fantasienamen schützen
Hätte in den Bestandsdaten, die mit der Funkzellenabfrage ebenfalls abgefragt wurden, ein Fantasiename und nicht der Name des „Gewalttäter links“ gestanden, hätte der Abgleich der Dateien keinen Treffer gegeben, und den Betroffenen wären die falschen Verdächtigungen, jahrelange Überwachung und Hausdurchsuchungen vermutlich erspart geblieben. Denn dann hätte das LKA für jeden einzelnen der Schleppnetz-Treffer die oben beschriebene Methode der Agent*innenjagd anwenden müssen. Das ist allerdings viel personalintensiver und dauert viel länger.

Brennende Mastanlage, keine Ermittlungsergebnisse
In einem anderen Fall brennt es 2008 in Niedersachsen in einer fertig gebauten, noch nicht versicherten, noch nicht in Betrieb genommenen Schweinemastanlage. Das LKA Niedersachsen ermittelt. Ergebnis: Nichts. Also macht es eine Funkzellenabfrage und lässt sich die Verbindungsdaten geben. Ergebnis: Nichts. Das LKA Niedersachsen ist aber nicht doof, und holt ähnlich wie im ersten Beispiel die Liste mit den üblichen Verdächtigen raus. In diesem Fall ist das nicht „Gewalttäter links“, sondern eine Gruppe Vegan-Öko-Hippies, die mit Öffentlichkeitsarbeit und gewaltfreien Bauplatzbesetzungen Politik gegen Mastanlagen machen. Ergebnis: Nichts. Keines der in der Nacht der Tat aufgezeichneten Handys gehört den Vegan-Öko-Hippies.

Das LKA hat Fantasie
Aber das LKA tut clever. Laut den Verbindungsdaten hat es in der Tatnacht aus der betroffenen Funkzelle einen Anruf auf ein Telefon gegeben, dass laut den Stammdaten der SIM auf eine Person in einer Kleinstadt in einem anderen weit entfernten Bundesland gemeldet ist. Und aus den Personalbögen der ca. drei dutzend Vegan-Öko-Hippies, die das LKA gerne verknacken möchte, geht hervor, das einer der Vegan-Öko-Hippies in eben dieser weit entfernten Kleinstadt geboren ist. Im LKA kombiniert man messerscharf: Terrorist*innen telefonieren immer noch schnell mit Mama, bevor sie was in die Luft jagen…

Vom Schleppnetz zur Agent*innenjagd
Jetzt schaltet das LKA von Schleppnetz auf Agent*innenjagd um. Das LKA findet über die Klarnamen in den Stammdaten der betroffenen SIM-Karten raus, wo die vermeintlichen Terrorist*innen-Eltern wohnen und schickt zivile Observationskräfte los. Die finden an beiden Adressen Eigentumsidyllen mit verheirateten Ehepaaren im mittleren Alter. Ergebnis: Niemand ist hier mit irgendwelchen Vegan-Öko-Hippies irgendwie verwandt oder bekannt. Das eine Handy gehört dem Ehemann von Familien-Eigentumsidylle A. Er ist LKW-Fahrer und in der Tatnacht mit seinem Brummi auf der dem Tatort nahe gelegenen Autobahn unterwegs gewesen. Während der Fahrt hat er mit der Ehefrau von Familien-Eigentumsidylle B telefoniert.

Das volle Programm
Statt sich jetzt pietätvoll zurückzuziehen und sich zu schämen, gehen geht das LKA in die Offensive. In Vernehmungen werden die Ehepaare mit dem Sachverhalt konfrontiert. Der Gag: Die Konfrontation erfolgt wie im ARD-Tatort in gemeinsamen Vernehmungen der einzelnen Ehepaare. Das LKA ist begeistert: Die improvisierten Notlügen der Betroffenen widersprechen sich von vorne bis hinten. Das LKA checkt nun den Hintergrund von Freunden und Verwandten. Ergebnis: Wieder nirgends eine Verbindung zu den Vegan-Öko-Hippies.

LKA ruiniert Ehen
Das LKA kommt erst zur Vernunft, als sich nach mehreren Wochen die in der Tatnacht angerufene Ehefrau zur alleinigen Vernehmung meldet. Sie räumt ein, in der ersten gemeinsamen Vernehmung mit ihrem Ehemann gelogen zu haben. Sie habe den Anrufer vor ein paar Monaten im Internet kennen gelernt, es habe sich eine außereheliche intime Beziehung entwickelt, von der ihr Ehemann (und auch die andere Ehefrau) bis zum Gepoltere des LKAs nichts geahnt habe. Erst jetzt kommt das LKA auf die Idee, das es clever sein könnte, auch das andere Ehepaar getrennt voneinander zu vernehmen. Der Ehemann gibt nun das ihm vorgehaltene außereheliche Verhältnis sofort zu. Trotzdem zieht das LKA das mit dem Checken des Umfelds zu Ende durch (besonders interessieren sie sich für die gerade volljährigen Töchter der Betroffenen), findet aber wieder nichts und lässt dann zumindest die braven Bürger*innen in Frieden. Wie es zu dem Feuer in Mastanlage kam, hat das LKA bis heute nicht herausgefunden.

Was bringt es?
Mit falschen Daten in den Bestandsdaten wären wohl beide Affären unentdeckt geblieben, da die Verbindung zum Geburtsort eines der Vegan-Öko-Hippies erst aufgefallen wäre, wenn auch bei allen Handys zusätzlich zu den Stammdaten auch Verbindungsanfragen eingeholt worden wären. Und auch damit wäre die Identität des LKW-Fahrers noch nicht enttarnt gewesen, sondern lediglich der Wohnort der angerufenen Geliebten. Nach beiden Handy-Nummern hätte noch aktiv gesucht werden müssen mit den Agentenjagd-Tricks. Hier zeigt sich, wie viel mehr Aufwand das LKA bei unrichtigen Bestandsdaten zur De-Anonymisierung gehabt hätte. Vermutlich wäre ohne die Erwähnung der besagten Kleinstadt in den Stammdaten einfach gar nichts passiert.

Dresden 2011
Relativ gut ausgewertet worden ist auch die massenhafte Verbindungs- und Bestandsdatenabfrage der sächsischen Polizei in Dresden im Februar 2011 anlässlich von antifaschistischen Protesten. Hier zeigen die Akten ein anderes Auswertungsmuster. Im ersten und zweiten Beispiel müssen die staatlich bezahlten Gewalttäter*innen „nur“ hunderte oder tausende Datensätze auswerten. Darüber hinaus wissen sie eigentlich, wen sie haben wollen: Sowohl in Schleswig-Holstein als auch in Niedersachsen geht es um die „üblichen Verdächtigen“, denen man gerne etwas anhängen möchte. In Dresden hingegen stehen die Cops vor einem echten Heuhaufen mit Millionen Datensätzen und vertrauen so sehr auf ihre Überwachungsmethoden, dass sie glauben, auf mehr oder weniger unvoreingenommen Weg das Phantom ihrer Antifa-Sportgruppe in den Daten rekonstruieren zu können.

Komplexitätsreduktion
Um die Datenberge zu bewältigen, versuchen die Cops es mit Komplexitätsreduktion. Sie suchen drei Arten von Merkmalen in den Datensätzen, die von ihnen als „Verdächtig“ konstruiert werden. Ihr erstes Kriterium dürfte alle Vorurteile gegen die sächsische Polizei bestätigen, denn vor allem finden sie Telefone von „außerhalb“ interessant. Als zweites suchen sie in den Daten gezielt nach Gerätenummern, die im Datensatz mit zwei verschiedenen SIMs vorkommen und SIMs, die mit zwei verschiedenen Gerätenummern auftauchen. Als drittes selektieren sie offenkundige Fantasienamen wie die im ersten Teil bereits von Thomas de Maiziere pauschal unter Terrorverdacht gestellten „Donald Duck“ und „Mickey Maus“ (2011 war die automatische Plausibilitätsprüfung bei den Online-Registrierungen noch nicht so weit, dass die Verwendung dieser Namen zu verhindern gewesen wäre). Das interessante ist aber: Ihr Datenberg ist immer noch so groß, dass bis zum Ende des Verfahrens nie aufklären werden, wer eigentlich hinter den Pseudonymen „Donald Duck“ und „Mickey Maus“ steht und einfach aufhören, zu ermitteln.

Probleme mit Meta-Daten
Nun sind LKA-Beamt*innen ja nicht die hellsten Leuchten unter der Sonne und scheinen zudem jede Menge interessanter Substanzen zu konsumieren, wie die Beispiele vermuten lassen. Was die sächsische Polizei aus welchen Grund auch immer unterlässt, ist eine Netzwerkanalyse der Verbindungsdaten. Damit hätten sie vermutlich ihre Halluzination einer sachsenweit agierenden linken Terrorgruppe auch nicht gefunden. Aber bei einem Datensatz, der derart riesig ist, dürften sich über die Analyse, welches Telefon eigentlich wann, wo und wie mit welchen anderen Telefon in Kontakt gestanden hat, interessante Zusammenhänge zeigen.

Grafische Aufbereitung
Technisch ist eine Metadatenanalyse mittels grafischer Aufbereitung relativ einfach. Wer sich ein Bild machen möchte, informiere sich bitte über das „Textrapic“-Programm an der Uni Rostock, das u.a. trotz Zivilklausel für die Bundeswehr und und den Bundesnachrichtendienst entwickelt wird.

Big Data, die Datenschutz-Katastrophe
Mit einem ähnlichen grafischen Verfahren zeigte der IT-Techniker David Krisel auf dem ccc-Kongress 2016, wie man nur anhand der öffentlich zugänglichen Metadaten der Homepage „Spiegel Online“ herausfinden z.B. kann, wer was mit wem in der Redaktion hat. Dieses Beispiel zeigt, wie sträflich sogenannte „Big-Data“-Ansätze unterschätzt werden. Wenn man ein geeignetes Auswertungsverfahren und Millionen an für sich genommen eigentlich harmloser Datensätze hat, findet man auf einmal die Nadel im Heuhaufen, gerade, weil der Heuhaufen drumherum die Nadel ganz deutlich hervorhebt.

Was lernen wir daraus:
Pseudonyme Handy sind dann faktisch anonym, wenn das Ermittlungsinteresse verhältnismäßig gering und die Datenmasse verhältnismäßig groß ist. Ist die Datenmasse aber zu groß, wird dank Metadaten und Big Data alles wieder ganz einfach für die Verunsicherungsbehörden. Gegen gezielte Ausforschung helfen pseudonyme Handy wenig. Bei der Schlepp-Netz-Methode verhindern sie aber vielleicht, dass wir in zwei Jahren mit einer Hausdurchsuchung wie die Protagonist*innen in den Beispiel-Storys völlig ahnungslos in einem Albtraum aufwachen, weil die Ressourcen der Ermittlungsbehörden glücklicherweise nicht unendlich sind.

Mehr Infos:

1. Teil: Was heißt „anonym telefonieren“?
http://maqui.blogsport.eu/2017/04/25/gesetzesaenderung-ab-juli-2017-werden-sim-karten-registriert/

Facebook, Foucault und das Panoptikum:
http://maqui.blogsport.eu/2015/11/04/facebook-foucault-und-das-panoptikum/

Pseudonyme, Anonymität, und was das mit uns zu tun hat:
http://maqui.blogsport.eu/2015/10/15/pseudonyme-anonymitaet-und-was-das-mit-uns-zu-tun-hat/

Bodycams: Der Videobeweis zur Rechtfertigung von Polizeigewalt:
http://maqui.blogsport.eu/2016/04/20/bodycams-der-videobeweis-zur-rechtfertigung-von-polizeigewalt/