Eine EU-Datenbank legt den Kauf eines Tools offen, das auch von der US-Abschiebebehörde ICE benutzt wird. Grüne und Datenschützer üben scharfe Kritik
Die österreichischen Sicherheitsbehörden wollen soziale Medien besser überwachen können – und vielleicht auch noch viel mehr. Fast 900.000 Euro investierte das Innenministerium Ende 2024 für ein umstrittenes Überwachungstool, das unter anderem von der US-Abschiebebehörde ICE benutzt wird. Das zeigt ein Eintrag in einer EU-Datenbank. Was konkret damit passieren soll, und wie weitreichend die Überwachungsmöglichkeiten wirklich sind, dazu schweigen die Behörden hingegen konsequent.
Tangles
Bei der umstrittenen Software handelt es sich um ein Tool namens Tangles. Es fällt in jenen Bereich, der in diesen Sphären gerne als "Open Source Intelligence" (OSINT) bezeichnet wird. Konkreter: Die Auswertung und Analyse von Aktivitäten im (Dark) Web und in Sozialen Medien.
Die Behörden wollen gerne Zugriff auf die digitalen Spuren der Nutzerinnen und Nutzer haben. Doch wie weit dürfen sie dabei gehen?
Nun mag es nicht überraschend sein, dass sich Ermittlungsbehörden solcher Tools bedienen. Die Behörden selbst argumentieren seit Jahren, dass der Einsatz solcher Programme für ihre Tätigkeiten unerlässlich ist. Etwa wenn es darum geht, im Netz jihadistische Propaganda oder Rechtsextremismus zu beobachten und terroristische Gefahren früh zu erkennen und abwehren zu können.
Brisanter wird die Angelegenheit allerdings dann, wenn man sich näher ansieht, wer hinter diesem Stück Software steht und wo diese sonst noch so zum Einsatz kommt – und vor allem: wofür.
Eine Spurensuche
Entwickelt wurde Tangles zunächst von der israelischen Firma Cobwebs, die wie so viele Startups aus diesem Bereich im Umfeld des israelischen Militärs entstanden ist. Im Jahr 2023 erfolgt dann die Übernahme durch den US-Kapitalinvestor Spire Capital, der die Firma mit dem US-Unternehmen Penlink zusammengelegte. Gemeinsam wirbt man aktuell, ganz dem Geist der Zeit entsprechend, mit einer "KI-gestützten Plattform für Digital Intelligence und forensischer Datenanalyse".
Doch zurück zur Übernahme: Denn zu diesem Zeitpunkt hatte Cobwebs bereits seinen ersten größeren Skandal hinter sich. In einem Bericht aus dem Jahre 2021 wurde Cobwebs von Facebook-Hersteller Meta als "Cybersöldner der Überwachungsindustrie" gebrandmarkt. Doch nicht nur das: Parallel dazu legte Meta hunderte Konten still, die Cobwebs zugerechnet wurden. Diese seien genutzt worden, um private Communities und Foren zu unterwandern und auszuspionieren, argumentierte die Big-Tech-Firma damals diesen Schritt.
Für wen Cobwebs damals tätig war, findet sich in dem damaligen Bericht ebenfalls. Neben den USA und Neuseeland ist von Saudi-Arabien, Bangladesch und Polen die Rede. Besonders pikant: Im Zusammenhang mit Mexiko und Hongkong ist explizit von einem "häufigen Targeting" von Oppositionellen, Aktivistinnen und Aktivisten sowie zum Teil gar Beamten der jeweiligen Regierung die Rede.
Überwachungsstaat
Der nach außen verwendete Name des Unternehmens mag sich mittlerweile geändert haben, weniger kontrovers wurden die Aktivitäten dadurch aber nicht. So wurde unlängst öffentlich, dass Penlink-Tools eine zentrale Rolle bei der Planung der viel kritisierten Einsätze der US-Einwanderungspolizei ICE spielt – konkret zur Überwachung des Standorts von Smartphone-Usern.
Zu diesem Zweck hat ICE vergangenen Herbst zwei Produkte gekauft und bei deren Namen wird es dann aus österreichischer Sicht wieder interessant. Lauten diese doch Webloc und Tangles – und zumindest bei einem dieser Tools hat eben auch das Innenministerium zugeschlagen.
Auch die US-Abschiebebehörde ICE verwendet die gleiche Software von Penlink
GETTY IMAGES NORTH AMERICA/STEPH
Eine schwierige Kombination
Hat das BMI sich also ein Tool zur Standortspionage gekauft? Dass diese Frage gar nicht so leicht zu beantworten ist, ergibt sich daraus, wie diese Programme vertrieben werden. Denn während Tangles zunächst "nur" für die erwähnte Webanalyse gedacht ist, stellt Webloc ein optionales Modul für Tangles dar – und wird oftmals mit verkauft, aber eben nicht immer.
Ob das im Falle des BMI der Fall war, lässt sich aus dem Eintrag im EU-Register nicht schließen. Genau das wäre aber die entscheidende Frage, immerhin wird es bei Webloc eben noch einmal deutlich problematischer. Über diese Software lassen sich die Bewegungen von Smartphone-Usern nachvollziehen und so auch Rückschlüsse auf deren Aktivitäten.
Große Versprechen
Penlink selbst wirbt mit angeblich "hunderten Millionen" Smartphones, die sich im eigenen Datensatz befinden würden. Zu diesen könne man neben Standortdaten auch andere Informationen, wie Name, Alter und Geschlecht der erfassten Personen liefern. Auch Interessen, genutzte Apps und viele Informationen zu den jeweiligen Geräten sollen enthalten sein.
Ob dieses Werbeversprechen auch zutrifft und wie genau diese Daten dann tatsächlich sind, lässt sich von außen zwar nicht beurteilen. Bekannt ist aber, dass in den USA mittlerweile neben ICE auch viele Polizeibehörden Webloc oder ähnliche Tools anderer Hersteller einsetzen.
Das große Schweigen
Leider ist genau die Frage nach der Webloc-Nutzung auch eine, zu der das Innenministerium lieber schweigt – und zwar konsequent. Bereits vor einigen Monaten hatte es der Wiener Überwachungsforscher Wolfie Christl, der aktuell mit dem Citizen Lab an der Universität Toronto den globalen Missbrauch von Werbedaten für Überwachungszwecke untersucht, mit einer Anfrage nach dem Informationsfreiheitsgesetz versucht.
Nach mehreren Fristverlängerungen wurde das Informationsbegehren schließlich abgelehnt – mit dem Hinweis auf die "Interesses der Aufrechterhaltung der öffentlichen Ordnung und Sicherheit". "Jedwede Beantwortung – und sei es auch eine verneinende – (würde) Rückschlüsse auf Ausrüstung und Strategien der Behörden" zulassen, so die offizielle Argumentation.
Scharfe Kritik
"Es ist demokratiepolitisch äußerst bedenklich, dass sich das Innenministerium weigert, dem Parlament zu beantworten, ob Polizei oder Nachrichtendienste problematisch bis unrechtmäßig gesammelte Verhaltensdaten aus der digitalen Werbung für Überwachung missbrauchen oder nicht, kritisiert Christl nun scharf.
"Auch wenn nur die Funktionen zur Socialmedia-Überwachung genutzt werden, muss das Innenministerium offenlegen, für welche Zwecke die Software eingesetzt wurde, wie viele Personen von der Datenerfassung betroffen waren und ob dabei kommerziell zugekaufte personenbezogene Daten verarbeitet werden, die nicht öffentlich verfügbar sind" betont er gegenüber dem STANDARD. Eine möglichst weitgehende Offenlegung sei "essenziell für eine demokratische Debatte über derartige Überwachungstechnologien, die potenziell tief in die Grundrechte eingreifen".
Parlamentarische Anfrage
Nicht besser als Christl erging es nun auch dem netzpolitischen Sprecher der Grünen, Süleyman Zorba. Dieser hatte vor einigen Monaten gemeinsam mit anderen Abgeordneten eine parlamentarische Anfrage zu diesem Thema eingebracht. Darin wollte er etwa konkret wissen, ob Webloc dazugekauft oder auch nur getestet wurde.
Einmal mehr verweigerte das Innenministerium nun die Beantwortung der gestellten Fragen: "Da die öffentliche Bekanntgabe von detaillierten Informationen wesentlichen äußeren und inneren Sicherheitsinteressen der Republik Österreich zuwiderlaufen würde, wird von einer öffentlichen Erörterung im Wege einer parlamentarischen Anfragebeantwortung Abstand genommen", heißt es kurz und bündig.
Dem STANDARD ging es mit einer eigenen Anfrage an das BMI übrigens nicht besser. Auch hier gab es – wenig überraschend – keine Antwort auf sämtliche Fragen zu diesem Thema.
Keine Antworten
"Statt klarer und nachvollziehbarer Antworten liefert das Innenministerium (…) wie gewohnt gar keine Antworten", betont Zorba in einer Stellungnahme zum STANDARD. "Wenn selbst grundlegende Fragen – ob die Software überhaupt im Einsatz ist, wie sie funktioniert, welche Datenquellen herangezogen werden und auf welcher Rechtsgrundlage sie verwendet wird – unbeantwortet bleiben, wird die parlamentarische Kontrolle nicht nur erschwert, sondern faktisch unterlaufen."
Der netzpolitische Sprecher der Grünen, Süleyman Zorba, zeigt sich verärgert über die Nicht-Antworten des Innenministeriums
Grüne
"Es stellt sich die ernsthafte Frage, warum das Innenministerium überhaupt eine Software kauft, die von der US-Behörde ICE breitflächig zur Auswertung von Standort- und Bewegungsdaten eingesetzt wird – und das von einem Anbieter, der seit Jahren wegen fragwürdiger Praktiken und Datenschutzproblemen in der Kritik steht."
Und weiter: "Selbst wenn nur gegen Einzelpersonen ermittelt wird, funktioniert das System technisch so, dass Daten von tausenden unbeteiligten Menschen mitgesammelt, verknüpft und ausgewertet werden. Das ist kein gezieltes Instrument mehr – das ist eine strukturelle Ausweitung staatlicher Überwachung ohne Kontrolle. Ob ein derartiger Einsatz in Österreich überhaupt rechtlich zulässig wäre, ist eine weitere Frage, der wir konsequent nachgehen werden."
Eine hochproblematische Angelegenheit
Gesichert ist damit lediglich, was sich in der oben erwähnten EU-Datenbank findet. Demnach hat das BMI damals 847.000 Euro für "10 Lizenzen + Admin-User" ausgegeben. Ob dieser Vertrag verlängert oder erweitert wurde, welche zusätzlichen Kosten dabei entstanden sind und wie das alles genutzt wird, will das Innenministerium ebenfalls nicht beantworten.
Wie problematisch die Verwendung von Tools wie Webloc aus datenschutzrechtlicher Sicht wäre, hat sich in den vergangenen Jahren mehrfach gezeigt. Immerhin verraten Standortdaten sehr viel über eine Person, darunter allerlei Dinge, die in den höchstpersönlichen Bereich fallen. Besucht jemand regelmäßig gewisse Lokale, mag das etwas über sexuelle Vorlieben aussagen, muss jemand immer wieder zu einem gewissen Facharzt, weist das auf eine entsprechende Erkrankung hin.
"Sollte Webloc in Österreich eingesetzt werden, wäre damit eine Art unkontrollierte Massenüberwachung möglich – auf Grundlage großer Mengen zugekaufter personenbezogener Verhaltensdaten über Millionen von Menschen in Österreich", warnt Christl. Auch wenn das System nur zur Überwachung von Einzelpersonen genutzt werde, sammle es potenziell Daten über die halbe Bevölkerung.
Datenspuren
Wie Penlink / Cobwebs zu diesen Daten kommt, verrät man zwar offiziell nicht, durch andere Anbieter in diesem Bereich ist aber auch das kein sonderliches Geheimnis – und aus datenschutzrechtlicher Sicht höchst problematisch. Solche Services kaufen ihre Daten nämlich meist bei am Smartphone spionierenden Apps ein.
Dabei handelt es sich zumeist um unscheinbar wirkende Tools wie Wetter-Apps oder Spiele, die Zugriff auf den Standort der User einfordern und deren Hersteller sich dann über den Weiterverkauf der dabei eingesammelten Informationen ein Zubrot verdienen. In anderen Fällen wissen die App-Hersteller hingegen gar nichts davon und fangen sich die spionierende Datensammlung über die Verwendung von Softwarebibliotheken – oftmals zur Werbeeinbindung – ein, die bei der Erstellung der eigenen App behilflich sind.
Davon geht auch Christl aus und legt noch einmal kritisch nach: "Die Daten stammen aus der digitalen Werbung und von Smartphone-Apps. Eine Nutzung für Überwachung stellt eine komplette Zweckentfremdung dar. Es gibt über die gesamte Datenlieferkette hinweg keine Rechtsgrundlage für eine Weitergabe dieser Daten für Überwachungszwecke."
Gegenmaßnahmen
Da Tools wie Webloc ihre Daten über spionierende Apps einsammeln, haben die Nutzerinnen und Nutzer selbst gewisse Möglichkeiten, sich davor zu schützen. Sowohl bei Android als auch iPhone kann man selbst bestimmen, welchen Apps Zugriff auf den Standort gegeben wird. Generell gilt dabei die Regel: Je weniger, umso besser. Vor allem aber gilt es dabei zu überlegen, ob der Zugriff für die Funktionalität der App wirklich unerlässlich ist. Wenn etwa irgendein Gratis-Spiel den exakten Standort haben will, sollten die Alarmglocken klingeln. Eine Karten-App eines vertrauenswürdigen Herstellers wird ohne diesen Zugriff hingegen kaum auskommen. Und auch bei Wetter-Apps kann man meist den Standort manuell einstellen oder zumindest die Genauigkeit des Ortszugriffs begrenzen, was eine genaue Nachverfolgung von Wegen deutlich erschwert.
Es gibt keine anonymen Standortdaten
Die Hersteller dieser Überwachungstools argumentieren gerne, dass die Informationen ohnehin "anonymisiert" erfasst werden. Eine Argumentation, die aber faktisch unhaltbar ist, wie Kritikerinnen und Kritiker seit Jahren betonen. Können doch Standortdaten so gut wie nie anonym sein, da sie immer direkte Rückschlüsse auf die Person erlauben.
Das erklärt sich schon aus simpler Logik: Der häufigste Aufenthaltsort wird bei den meisten wohl die eigene Wohnung sein, der zweithäufigste der Arbeitsplatz – die Rückführung auf eine Person ist da nicht mehr weit. Eine Nutzung von Webloc durch die österreichischen Behörden wäre also aus einer datenschutzrechtlichen Sicht gleich in mehrerlei Hinsicht hochproblematisch.
Behörden in zwielichtiger Gesellschaft
Doch auch unabhängig von der Klärung der Frage, ob das BMI auch Webloc oder doch "nur" das restliche Tangles einsetzt, illustriert der Fall eine äußerst problematischen Umstand. Einen, über den Politik und Behörden weniger gerne sprechen, wenn es um neue Überwachungstechnik geht.
In diesem Bereich ist es nämlich so gut wie unmöglich, an zwielichtigen Firmen vorbeizukommen, deren Tools sich rechtlich zweifelhafter Methoden zur Informationsbeschaffung bedienen. Seien es Staatstrojaner, die die Sicherheit von Smartphones grundlegend unterwandern oder eben auch das massenhafte Einsammeln von Standortdaten über unverdächtig scheinende Apps, wie es bei Penlink der Fall ist.
Quelle: