Diese Bedrohung ist neu: Durch Manipulation der Steuerungschips könnten Hacker Notebook-Akkus zerstören. Womöglich könne man auf diesem Weg sogar unbemerkt von Schutzprogrammen Viren einschleusen, warnt ein Sicherheitsexperte – und kündigt baldige Abhilfe an.

Wenn sich PC-Sicherheitsexperten aus der ganzen Welt Ende Juli in Las Vegas treffen, werden Hard- und Software-Hersteller genau verfolgen, was sie zu berichten haben. Auf der jährlich stattfindenden Black-Hat-Konferenz präsentieren Tüftler und Forscher neue Sicherheitslücken, die sie in aktuellen Computerprodukten, Betriebssystemen und Anwenderprogrammen gefunden haben. Eine spektakuläre Enthüllung hat jetzt der Sicherheitsforscher Charlie Miller von der IT-Sicherheitsfirma Accuvant angekündigt: Notebook-Akkus, die von Hackern missbraucht werden können.

Auf der Suche nach einer Möglichkeit, die Sicherheitsvorkehrungen von Apples Mac OS X zu umgehen, hat Miller die Akkus der Macbooks als potentielles Angriffsziel entdeckt. Solche Akkus sind mit Steuerungschips ausgestattet, die das Verhalten der Stromspeicher exakt überprüfen und steuern. Sie regeln beispielsweise den Ladevorgang so, dass die Akkus nicht durch überhöhte Ladeströme überhitzen können.

Diese Chips verfügen über ein eigenes, kleines Betriebssystem, die sogenannte Firmware. Grundsätzlich ist der Zugang zu diesen Chips zwar durch Passworte gesichert, doch laut Miller lässt Apple die Standardpassworte der Mini-Prozessoren unverändert. Indem er einige Software-Updates für die Akku-Chips analysierte, konnte Miller auf die Zugangspassworte zu den Chips schließen – und manipulierte Firmware aufspielen.

Keine Überhitzung, aber womöglich Virenbefall

Miller versuchte, die Akkus zu fehlerhaftem Verhalten umzuprogrammieren. Eine Überhitzung bis zur Explosion konnte der Sicherheitsexperte allerdings nicht provozieren. Offensichtlich verhindern nicht manipulierbare Hardware-Schaltungen ein solches Fehlverhalten. Trotzdem gelang es ihm, mit seinen Tricksereien mehrere Akkus unbrauchbar zu machen. Während seiner Versuche habe er auf diese Weise sieben Akkus nutzlos gemacht, berichtet heise.de. Eine Wiederherstellung der Akku-Funktion sei im Anschluss nicht möglich gewesen, auch nicht durch Apples eigene Experten, erklärte Miller der britischen IT-Nachrichtenseite The Register.

Der Sicherheitsforscher sieht noch eine andere potentielle Bedrohung: Ein manipulierter Akku-Chip könnte vielleicht auch benutzt werden, um Schadsoftware auf einen Rechner einzuschleusen. Es ist möglich, die Firmware eines Akkus vom Notebook aus zu aktualisieren – vielleicht ist auch eine Datenübertragung in umgekehrter Richtung möglich. Das Perfide eines solches Angriffs wäre, dass er durch keine der übliche Schutzmethoden abzuwehren wäre: Er würde einen Scan durch Antiviren-Software ebenso überstehen wie eine komplette Neuformatierung der Festplatte samt Reinstallation des Betriebssystems. Nur ein Akku-Tausch könnte in einem solchen Fall helfen.

Bisher aber ist das – glücklicherweise – nur ein Zukunftsszenario. Und mit etwas Glück wird es auch dabei bleiben, denn nach seinem Vortrag auf der Black-Hat-Konferenz will Miller ein Hilfsprogramm veröffentlichen, das dem Spuk ein Ende setzen soll: Es ändert das Standard-Passwort des Akku-Chips und erschwert Manipulationen.

Das Landeskriminalamt Sachsen hat in einem Ermittlungsverfahren die Namen, Adressen und Geburtsdaten von mehr als 40.000 Personen abgefragt, die am 18. und 19. Februar in Dresden ihr Handy benutzt haben. Das geht aus einer Antwort des sächsischen Innenministeriums auf eine Anfrage des SPD-Landtagsabgeordneten Henning Homann hervor.

Der Hintergrund dieser massiven Datenabfrage durch das Landeskriminalamt: In Dresden hatten am 19. Februar Tausende friedlich gegen einen Aufmarsch von Neonazis protestiert. Gewalttätige Randalierer hatten am Rande der Demonstration Polizisten angegriffen, laut dem sächsischen Innenministerium wurden dabei 112 Polizeibeamte verletzt, einige von ihnen schwer. Die Polizeidirektion Dresden und die Sonderkommission „19. Februar“ ermitteln.

Dabei haben die Beamten massiv Handy-Verbindungsdaten ausgewertet. Ende Juni gaben Sachsens Innenminister Markus Ulbig (CDU) und Justizminister Jürgen Martens (FDP) zu, dass am 19. Februar mehr als eine Million Handy-Daten gesammelt wurden, bis dahin war immer nur von rund 138.000 Handy-Daten die Rede gewesen. Die Minister räumten die massive Datensammelei ein, nachdem die “ taz“ darüber berichtet hatte.

Der Bericht der Minister war entweder unvollständig oder das Landeskriminalamt hat erst nach Veröffentlichung des Berichts mit der massiven Datenauswertung begonnen.

In dem gemeinsamen Bericht der beiden Ministerien vom 24. Juni wird der Umfang der abgefragten Daten so beziffert:

Der Soko 19/2 liegen seit dem 2. März 138.630 Verkehrsdatensätze vor – gesammelt wurden unter anderem Handy- und Gerätenummern.
Zu diesen 138.630 Verkehrsdatensätzen gehören 65.645 verschiedene Rufnummern. Zu 460 Telefonnummern fragten die Ermittler die persönlichen Daten (sogenannte „Bestandsdaten“) der Anschlussinhaber ab.
In „einem anderen Ermittlungsverfahren“ liegen der Soko seit dem 9. Juni 896.072 Verkehrsdatensätze von Menschen vor, die am 18. und 19. Februar in Dresden ihr Handy benutzt haben.

Was in dem Bericht vom 24. Juni nicht steht: Auch diese 896.072 Verkehrsdatensätze wurden in erheblichem Umfang ausgewertet, wie die „taz“ berichtet. In dem vorliegenden Schreiben des Innenministeriums an den SPD-Abgeordneten Homann vom 20. Juli steht: „In einem anderen Ermittlungsverfahren wurden vom Landeskriminalamt Sachsen 896.072 Verkehrsdatensätze erhoben, die 257.858 Telefonnummern enthielten. Bisher wurden 40.732 Bestandsdaten abgefragt.“

Warum fehlt diese Information im öffentlichen Bericht vom 24. Juni? Hatten die Ermittler da noch nicht begonnen, Namen, Adressen und Geburtsdaten abzufragen? Fehlt diese Information aus einem anderen Grund? Das sächsische Innenministerium hat auf Anfragen bis zur Veröffentlichung dieses Artikels nicht geantwortet.

Der SPD-Abgeordnete Homann ist über den Umfang der abgefragten Daten schockiert: „Diese Zahl kann ich mir nur so erklären: Entweder haben sie die Daten von allen Einwohnern des gesamten Stadtteils abgefragt, oder aber es wurden alle Daten von Personen abgefragt, die nach Dresden gekommen sind, um gegen den Naziaufmarsch zu demonstrieren.“

Eine Datenbank mit fast 41.000 Namen, Adressen und Geburtsdaten – das könnte ein Gesamtverzeichnis aller Menschen sein, die in Dresden demonstriert haben. Homann: „Darunter könnten alle sein, die sich hier gegen Rechts engagiert haben, das ginge bis zum Gemeindepfarrer, der mit seiner Jugendgruppe gekommen ist.“

Am Samstag hatte die „taz“ berichtet, dass die Dresdner Polizei schon im Juni 2010 bei einer Demonstration gegen Nazis eine Funkzellenauswertung veranlasste.

Glaubt man dem Bericht von AdAge, reichen Googles Pläne bereits weit. Auf der Plattform sollen demnach Verleger und Datenvermarkter ihre Kundendaten hinterlegen können. Werbekunden dann sollen sich daraus das gewünschte Werbepublikum zusammenstellen. Und so etwa Menschen finden, die auf der Suche nach Neuwagen sind, eine Reise planen und bestimmte Zeitungen lesen.

Googles Geschäftsmodell basiert schon immer auf diesem Wissen und der Konzern hat große Mengen davon gesammelt. Wie detailliert die Daten sein könnten, führt der jüngste Dienst Google+ vor: Wenn Android-Nutzer Bilder aufnehmen und in ihr Web-Fotoalbum laden, um sie mit anderen Nutzern teilen, erfährt Google, wer diese Bilder wo aufgenommen hat und mit wem sie geteilt werden. Über Bilderkennungsmechanismen und Tagging weiß Google auch, was fotografiert wurde.

Aus dem Stream eines Nutzers erfährt Google darüberhinaus, wofür sich dieser interessiert und in welchen Kreisen und Interessengruppen er sich bewegt. Über den Anzeigendienst DoubleClick erfährt Google mit Hilfe von Cookies, wohin er surft. Verknüpft mit den Suchanfragen, in denen wir unsere Wünsche und Befürchtungen enthüllen, entstehen aussagekräftige Profile.
Das Besondere ist, dass es sich immer um Echtzeit-Daten handelt. Die Profile sind aktuell und Anzeigenkunden wären damit in der Lage rasch auf Trends zu reagieren.

Schon jetzt werden diese Informationen an Werbetreibende verkauft, zumindest indirekt. Denn Google verkauft letztlich Werbeflächen und nutzt die Profile, um die Anzeigen, für die Kunden bezahlen, gezielt auszuspielen. Denn je stärker sie auf jemanden zugeschnitten sind, desto größer die Chance, dass er auf die Werbung klickt – was mehr Geld für Google bedeutet.

Die neue Profilplattform DDP wäre der erste Versuch des Konzerns, aus seinen Nutzerdaten direkt Profit zu schlagen. Zumindest in Deutschland wirft das allerdings eine Reihe von rechtlichen Fragen auf.

Rechner mit eingebautem Spähprogramm, Smartphones mit vorinstalliertem Trojaner: Experten spekulieren seit Jahren über Spionage-Angriffe durch ab Werk infizierte Hardware aus Fernost. Nun bestätigte ein hochrangiger US-Heimatschützer, dass es solche Fälle gegeben hat.

So schwierig war die Frage gar nicht, die der US-Abgeordnete Jason Chaffetz am vergangenen Donnerstag im US-Repräsentantenhaus bei einer Ausschusssitzung stellte. Ob im Ausland gefertigte IT-Komponenten mit vorinstallierter Schadsoftware in die Vereinigten Staaten importiert worden seien, wollte Chaffetz von einem hochrangigen Vertreter des US-Heimatschutzministeriums wissen. Prompt geriet der stellvertretende Unterstaatssekretär Greg Schaffer ins Stottern (siehe YouTube-Video unten).

Sechsmal setzt Schaffer zu ausweichenden, allgemeinen Antworten an. Sechsmal fragt Chaffetz nach: „Passiert das?“, „Sind Ihnen Fälle bekannt, in denen Software oder Hardware mit eingebauten Sicherheitsrisiken in die Vereinigten Staaten importiert worden sind?“ Schließlich antwortete Schaffer dann doch: „Ich kenne Fälle, in denen das passiert ist.“

Seine Worte könnten die erste offizielle Bestätigung für ein gefürchtetes Szenario sein: Seit Jahren spekulieren Politiker, Medien und Nutzer darüber, dass ein Zulieferer bestimmte für den Export vorgesehene Technik mit speziellen Schadprogrammen ausstattet – womöglich auf Wunsch einer ausländischen Regierung oder einer kriminellen Gruppierung. Auf neuen Firmen-Laptops wäre dann zum Beispiel ein Programm installiert, das bestimmte Daten auf Kommando über das Netz an die Auftraggeber verschickt.

Es ist sehr heikel, bei solchen Fällen Schuldige zu benennen. Hat ein Mitarbeiter bei einem Zulieferer vorsätzlich Schad- und Schnüffelprogramme eingeschmuggelt? War vielleicht die Fertigungsanlage eines Herstellers virenverseucht? Handelte da jemand auf Druck? Absicht oder Unglück – was wirklich passiert ist, lässt sich kaum mehr nachvollziehen, wenn mit Schnüffelprogrammen infizierte Technik einmal entdeckt ist.

Absicht oder Unfall?

Das dürfte Schaffers zögerliche Antworten erklären. Er war sehr bemüht, keine Schuldigen zu benennen. Auf die Anfrage des US-Senders MSNBC, was Schaffer nun genau gemeint habe, zufällige oder absichtliche Infektionen, hat das US-Heimatschutzministerium bislang nicht geantwortet.

Schon 2009 haben die Autoren der vom US-Präsidenten in Auftrag gegebenen “ Cyberspace Policy Review“ diese Gefahren thematisiert. In dem Dokument ist in einem Absatz zur „Lieferkettensicherheit“ von den Risiken neuer Fertigungsstandorte die Rede. Die Autoren schreiben, Fertigung im Ausland sei eine Chance für „staatliche Akteure, Produkte zu infizieren“. Sie räumen aber ein, es gebe „nur wenige dokumentierte Fälle eindeutiger, absichtlicher Infektionen“. Ob es sich bei diesen wenigen Fällen um in die USA importiere Technik handelt, lässt der Bericht offen.

Smartphones und iPods mit Viren ab Werk

Allerdings sind Fälle dokumentiert, in denen Hersteller ab Werk mit Schadsoftware infizierte Geräte ausgeliefert haben. So etwas kommt seit Jahren immer wieder vor: 2008 befiel ein Trojaner namens MocMex Windows-Rechner in den USA, Singapur und Russland. Die Schadsoftware war in einem digitalen Bilderrahmen vorinstalliert. Sobald Nutzer diesen an einen Rechner anschlossen, wurde das Schadprogramm aktiv, sammelte Passworte ein und versuchte, diese übers Netz zu übermitteln. Gebaut wurden die betroffenen Bilderrahmen in China, Sicherheitsforscher wollen damals den Trojaner auch zu einer „Gruppierung“ in die Volksrepublik zurückverfolgt haben.

2006 lieferte Apple einige Video-iPods mit einem vorinstallierten Virus aus, 2010 steckte in einigen Samsung-Smartphones ab Werk eine Speicherkarte mit einem Windows-Trojaner. In diesen und den meisten anderen bekannt gewordenen Fällen haben die betroffenen Firmen Zulieferer als Ursprung der Infektion ausgemacht und die Öffentlichkeit zügig informiert.

Online-Spionage per Spear-Phishing dürfte effektiver sein

Zur Panik besteht dennoch kein Grund: In der Praxis dürfte die gezielte Infektion von Hardware ab Werk zu speziellen Spionage-Zwecken nicht sehr effizient sein. Man kann ja nicht vorher wissen, welche Geräte an welchen Kunden ausgeliefert werden. Infektionen ab Werk sind mit einem Schrotflintenschuss zu vergleichen: Man streut die Attacke möglichst weit, in der Hoffnung, ein paar Treffer bei Insidern zu landen.

Im Online-Spionagegeschäft scheint bislang aber ein anderer Ansatz zu dominieren: sogenanntes Spear-Phishing – gezielte Online-Angriffe auf Insider. Die gängige Methode sind glaubhaft formulierte, individuell abgestimmte E-Mails, die Empfänger zum Öffnen eines infizierten Dokuments oder einer Website mit Spähsoftware verleiten. Ein Sicherheitsbericht des US-Außenministeriums aus dem Jahr 2008 führt diese Art von Angriffen unter dem Titel „Byzantine Candor“. Man glaube, die Angriffe kämen aus China, heißt es in dem Bericht weiter. Ziele seien Netzwerke der US-Armee, des Außen-, Verteidigungs- und Energieministeriums, andere Regierungsstellen, Unternehmen und Internetprovider.

Auch in den Postfächern deutscher Beamter landen speziell zugeschnittene Nachrichten mit angehängten Dokumenten, die statt der versprochenen Fachartikel dann meist Spähsoftware enthalten. Schon 2008 waren die Verfassungsschützer besorgt über die Erfolge der Spähpost . „Leider“, so die US-Botschaftsdepesche, „halten die Verfassungsschützer die Mehrheit der Empfänger für extrem empfänglich gegenüber diesen Social-Engineering-Angriffen“.

Solange Insider an Dienstrechnern E-Mail-Anhänge bedenkenlos öffnen, ist ein Schrotflintenangriff mit infizierter Hardware vielleicht gar nicht nötig.

Die Unbekannten haben mindestens ein Ziel erreicht: Aufmerksamkeit. In der Nacht zum Freitag veröffentlichte eine Hackergruppe namens NN-Crew im Web Datensätze, die angeblich von Servern von Ermittlungsbehörden entwendet wurden und detaillierte Informationen zu Überwachungseinsätzen der Behörden enthalten.

Nach Informationen von SPIEGEL ONLINE haben die Unbekannten Material von einem Server einer Zollbehörde entwendet. Eine Sprecherin der Bundespolizei bestätigt: „Nach derzeitigen Feststellungen stammen die veröffentlichten Daten von einem Zoll-eigenen Server, auf den anscheinend auch Informationen der Bundespolizei zur Anwendung des Zielverfolgungssystems Patras für die Weiterverteilung im Zollbereich kopiert wurden.“ Das Bundespolizeipräsidium stellt nach einer ersten Analyse fest, dass keine „Einsatzdaten der Bundespolizei oder des BKA“ veröffentlicht worden sind.

Bei Patras handelt es sich den veröffentlichten Dokumenten zufolge um ein System zur Auswertung von Positionsdaten, die zum Beispiel GPS-Peilsender an den Fahrzeugen überwachter Personen per Mobilfunk übermitteln. Die Bundespolizei hat den Patras-Server vorläufig abgeschaltet und alle Nutzer gewarnt.

Bewegungsprofile aus dem gesamten Bundesgebiet

Unter den veröffentlichten Daten finden sich Bewegungsprofile aus dem gesamten Bundesgebiet. Die einzelnen Datensätze sind in Ordnern sortiert, die die Namen unterschiedlicher Polizeistellen tragen. Darunter finden sich gemeinsame Ermittlungsgruppen der Landespolizeien, der Bundespolizei und des Zolls zur Rauschgiftbekämpfung, auch Zollfahndungsämter und mobile Einsatzkommandos sind betroffen.

Die einzelnen Datensätze enthalten Positionsprotokolle, die laut den Dokumenten in den Jahren 2009 und 2010 aufgezeichnet worden sind. Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar ist zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben.

Von welchen Geräten die Daten aufgezeichnet worden sind, lässt sich nur auf Basis der parallel von der NN-Crew veröffentlichten Dokumente vermuten. Powerpoint-Präsentationen und Handbücher beschreiben, wie Überwachungstechnik installiert und gepflegt werden kann. Die beschriebenen Geräte werden demnach an Fahrzeugen angebracht, ermitteln über GPS-Signale die Position und übermitteln diese per Mobilfunk.

Software wertet Positionsdaten auf einem Server aus

Aus den veröffentlichten Dokumenten geht hervor, dass die gesammelten Positionsdaten zur Auswertung auf einen oder mehrere Server geladen wurden. In einer Nachricht eines Technik-Dienstleisters beschreibt der Mitarbeiter, wie sich das „installierte Patras-Web-Interface“ anpassen lässt. Unklar ist, ob diese Patras-Webversion auf einem lokalen Computer in einer Dienststelle oder auf einem von außen erreichbaren System installiert war. Der Unterschied: Lokal lässt sich der Server nur aus dem internen Netz über Browser abrufen, ist er von außen zugänglich, ist die Gefahr von Angriffen höher.

Wie die Hacker an die Daten gekommen sind, ist auf Basis des vorliegenden Materials nicht nachzuvollziehen. Womöglich wurde ein Rechner bei einer Dienstelle attackiert, vielleicht lief eine Installation der Patras-Software tatsächlich auf einem ans Internet angeschlossenen Rechner – ein solcher Umgang mit den Daten wäre fahrlässig, sollte es sich tatsächlich um die Auswertung von echten Überwachungsmaßnahmen handeln.

Die Behauptung der Hacker, Daten von „einigen Servern der Bundespolizei“ gezogen zu haben, muss indes nicht stimmen. Die veröffentlichten Dokumente deuten darauf hin, dass die Bundespolizei einen Download-Server („BPOL-Download-Server“) betrieben hat, von dem andere Stellen Software laden konnten – darunter Programme wie GPSTracker und Patras.

Eine Sprecherin der Bundespolizei kündigte an, man werde die „veröffentlichten Daten auf kritische Informationsinhalte“ prüfen und den Zoll bei der „Aufklärung des Cyberangriffs“ unterstützen. Das nationale Cyber-Abwehrzentrum beim Bundesamt für Sicherheit in der Informationstechnik soll sich ebenfalls mit dem Fall befassen – das dürfte einer der ersten größeren Fälle für die eben erst eröffnete Stelle sein.

Am 19. Februar fanden in Dresden der Aufmarsch und eine Gegendemonstration statt. Angeordnet wurde die sogenannte Funkzellenauswertung laut Staatsanwaltschaft im Rahmen eines Verfahrens wegen schweren Landfriedensbruchs, nachdem es südlich des Hauptbahnhofs zu gewalttätigen Ausschreitungen gekommen war.

„Die Polizei wollte herausfinden, ob bestimmte Personen, von denen Handynummern bekannt sind, sich am fraglichen Ort aufgehalten haben“, sagt Lorenz Haase, Oberstaatsanwalt in Dresden. Laut „taz“ flossen Verbindungsdaten in mehreren Fällen aber auch in Ermittlungen gegen Menschen ein, denen keine Verwicklung in die Randale vorgeworfen werde.

Datenschützer und Opposition fordern Stellungnahme

„Die Funkzellenabfrage trifft friedliche Demonstranten und Anwohner. Nach der einschlägigen Rechtsprechung dürfte sie rechtswidrig gewesen sein“, sagt Wolfgang Neskovic, der rechtspolitische Sprecher der Bundestagsfraktion der Linkspartei, der „taz“.

Die Grünen-Fraktion im Sächsischen Landtag verurteilte die Aktion als Kriminalisierung friedlicher Demonstranten und beantragte eine gemeinsame Sondersitzung des Innen- und Rechtsausschusses. Dabei müsse geklärt werden, wie viele Personen betroffen sind. Die SPD-Fraktion forderte die Staatsregierung zu einer Stellungnahme auf. Die großräumige Handyüberwachung auch unbescholtener Bürger sei „äußerst besorgniserregend“. Nach SPD-Angaben hatten weder der Innen- noch der Justizminister die Abgeordneten in den Landtagsausschüssen über den Polizeieinsatz informiert.

Der Sächsische Datenschutzbeauftragte hatte nach Angaben eines Sprechers keine Kenntnis von dem Vorgang. Seine Behörde habe erst durch Recherchen der „tageszeitung“ davon erfahren und nun der Dresdner Staatsanwaltschaft bis Donnerstag Zeit gegeben, sich zur Sache zu äußern.

Es ist ein Vorgeschmack auf eine neue Strategie der US-Regierung. Das Verteidigungsministerium ist derzeit dabei, formale Regeln zum Umgang mit Internet-Angriffen aufzustellen. Nach jahrelanger Diskussion soll die Cyber-Doktrin jetzt in Kraft treten. 30 Seiten umfasst die Strategie, Teile davon sollen im Juni vorgestellt werden. Kernbestandteil: Sollte ein Cyber-Angriff die Energieversorgung stören, Krankenhäuser ausschalten und somit viele Menschenleben in Gefahr bringen, wird zurückgeschlagen…weiterlesen auf Spiegel Online

Die betroffenen Seiten können nicht mehr aufgerufen werden, stattdessen erscheint eine Fehlermeldung. Administratoren der Profile sagen, dies habe zahlreiche Verbindungen unter den Aktivisten außer Kraft gesetzt. Mittlerweile gibt es auf Facebook die Gruppe „Stop The Facebook Purge“ („Stoppt die Facebook-Säuberung“)…weiterlesen auf Zeit Online

Für die „Haushaltebefragung“ werden per Zufall Anschriften ausgewählt. Alle Menschen, die dort wohnen, werden um Auskünfte über sich selbst gebeten — das sind nach einer Schätzung etwa 7,9 Millionen Personen. Für minderjährige Kinder beantworten die Eltern die Fragen.

Die Stichprobe wird so gezogen, dass vor allem Anschriften in Gemeinden mit mindestens 10 000 Einwohnern hineinkommen, außerdem Häuser mit sehr vielen Wohnungen. Tests haben gezeigt, dass die amtlichen Melderegister dort besonders viele Fehler enthalten — weil die Menschen dort häufiger umziehen, heißt es beim Statistischen Bundesamt. Aus dem gleichen Grund werden auch alle Bewohner von Gemeinschaftsunterkünften wie Internaten, Studentenwohnheimen, Klöstern und Seniorenstiften befragt. In heiklen Fällen, wie einem Gefängnis, stehen nicht die Insassen, sondern die Anstaltsleiter Rede und Antwort.

Außerdem bekommen die etwa 17,5 Millionen Verwalter oder Eigentümer von Wohnraum Fragen vorgelegt, um Daten über die Wohnsituation zu gewinnen.

2. Was wird gefragt?

Da die Europäische Union genaue und vergleichbare Daten über ihre Mitglieder braucht, hat sie vorgeschrieben, welche Fragen die Staaten bei der Zählung unbedingt stellen müssen. Außerdem werden in Deutschland Zusatzfragen zum Migrationshintergrund und zur Religion gestellt. Die Regierung begründete das damit, dass man die Daten für die Integrationspolitik brauche.

Auf dem Bogen für die Haushaltebefragung muss jeder sein Alter angeben, Geschlecht, Staatsangehörigkeit, Familienstand, Religionszugehörigkeit, Zahl der Personen in der Wohnung, Schulabschluss, Beruf und danach, ob man selbst oder ein Elternteil erst nach 1955 nach Deutschland zugezogen ist. Für die Bewohner von Gemeinschaftsunterkünften ist ein kürzerer Fragebogen vorgesehen, ohne Angaben zu Bildung oder Erwerbstätigkeit. Auch bei Bewohnern „sensibler Bereiche“ wie einem Gefängnis werden weniger Daten erfasst.

Wohnungseigentümer müssen auf ihrem Fragebogen zum Beispiel angeben, wann das Haus gebaut wurde, wie es geheizt wird, ob es ein Reihen- oder Mehrfamilienhaus ist und wie viele Wohnungen darin sind. Über die Wohnungen wollen die Statistiker wissen, wie groß sie sind, wie viele Personen darin leben und ob es eine Badewanne oder Dusche und eine Toilette gibt.

Außerdem werden als sogenannte Hilfsdaten auch Name, Anschrift, Geburtstag und Telefonnummer abgefragt. Damit sollen Doppelungen und Fehler vermieden und Daten aus verschiedenen Quellen zusammengeführt werden.

Ausgelobt wird der Big Brother Award vom Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e.V. (FoeBuD). In der Jury sitzen Vertreter von Datenschutz- und Menschenrechtsorganisationen sowie vom Chaos Computer Club.

Die Datenschutzaktivisten kritisieren die erste staatliche Sammlung von Informationen über die Lebensumstände aller Bundesbürger seit 1987 als „Vollerfassung“. Bei dieser Volkszählung würden „sensible Persönlichkeitsprofile von über 80 Millionen Menschen erstellt“, diese seien dann bis zu vier Jahre nach dem Stichtag am 09. Mai 2011 personenbezogen verfügbar. Die Jury bemängelt, dass Daten aus „Melderegistern, von der Bundesagentur für Arbeit und bundesbehördlicher Arbeitgeber zweckentfremdet“ würden, dass die Betroffenen nicht „rechtzeitig und ausreichend darüber informiert werden oder dem widersprechen könnten“.

Zensus-Chef wiegelt ab: „vergleichsweise langweilige Daten“

In der Tat sammelt der Staat beim Zensus aus unterschiedlichen Datenbanken (zum Beispiel Melde- und Erwerbsregister) aber auch bei Befragungen von Hausverwaltungen und Eigentümern und Haushalten Informationen über Staatsangehörigkeit, Migrationshintergrund, Beruf und Erwerbsstatus. In einigen Punkten wollen die deutschen Statistiker mehr wissen als die EU-Vorgaben zum Zensus vorschreiben, dazu gehört die rechtliche Zugehörigkeit zu einer Religionsgemeinschaft, Glaubensbekenntnis und der erweiterte Migrationshintergrund.

Der Vorsitzende der Zensuskommission Wagner hatte in einem Interview mit dem “ Handelsblatt“ Anfang März erklärt, beim Zensus würden „vergleichsweise langweilige Daten erhoben“. Für Marketing-Zwecke etwa seien diese „total ungeeignet“. Wagner zog damals den wenig treffenden Vergleich:

„Was Google über jemanden abspeichert, der eine Suchanfrage startet, sagt viel mehr über eine Person aus. Und bei Facebook finde ich doch auch viel interessantere Informationen über meine Nachbarin, als wenn ich die Volkszählungsdatei knacke.“

Das stimmt vielleicht in Einzelfällen – aber gegen die Zensus-Datenerhebung kann niemand Einspruch erheben, die Teilnahme bei den Stichprobenbefragungen ist sogar Pflicht – Google-Suchanfragen hingegen sind es nicht.

Ein Preis für Facebook

In der Kategorie Kommunikation gibt es einen Big Brother Award für die „Gated Community“ Facebook. Die Jury kritisiert unter anderem, dass Facebook sich mit verschiedenen Anwendungen wie zum Beispiel der iPhone-App „Telefonnummern und E-Mail-Adressen aus den Adressbüchern der Nutzer“ aneigne.

über die Praxis Facebooks, beim Synchronisieren der iPhone-Anwendung mit dem Dienst alle privaten E-Mail-Adressen, Geheimnummern und dazu auch die Namen aus dem Adressbuch des Telefons in Facebooks Datenbanken zu laden wurde berichtet. Das Unternehmen speichert diese Daten, um Kontaktnetzwerke zu analysieren.

Inzwischen hat sich an dieser Praxis vor allem eines geändert: Inzwischen können die Nutzer – nachträglich – die aus ihrem Telefon hochgeladenen Daten bei Facebook löschen. An der Tatsache, dass Facebook sich von Nutzern die Zustimmung zu diesem Datenabgriff holt, ohne klar über die Verwendung zu informieren, hat sich jedoch nichts geändert. Bei einem Versuch Ende März informierte eine neu installierte Facebook-iPhone-Anwendung über die Synchronisierung des Adressbuchs mit diesem Text:

„Wenn du diese Funktion aktivierst, werden alle Kontakte von deinem Handy (Name, E-Mail-Adresse, Telefonnummer) an Facebook gesendet und unterliegen dann den Datenschutzrichtlinien von Facebook. Zudem werden die Profilbilder deiner Freunde sowie andere Informationen von Facebook zu deinem iPhone-Adressbuch hinzugefügt. Bitte stelle sicher, dass deine Freunde mit deiner Nutzung ihrer Daten einverstanden sind.“

Diese Erklärung unterschlägt nach wie vor, dass nicht nur alle Kontakte an Facebook gesendet, sondern dort auch dauerhaft gespeichert werden, solange der Nutzer sie nicht löscht.

Apple zeigt 117 iPhone-Seiten Datenschutzbestimmungen

Apple erhält einen Big Brother Award für die – so heißt es in der Laudatio – „Geiselnahme ihrer Kunden mittels teurer Hardware und die darauf folgende Erpressung, den firmeneigenen zweifelhaften Datenschutzbedingungen zuzustimmen“.

Die Jury kritisiert, das iPhone sei quasi unbenutzbar, solange man nicht den Datenschutzbedingungen zustimme, die Apple in den Nutzungsbedingungen auflistet. Diese ziehen sich bei der Darstellung auf dem iPhone über 117 Bildschirmseiten hin. Darin lasse sich Apple reichlich Freiheiten zugestehen, unter anderem zur Datenweitergabe und präzisen Standortbestimmung.

Gerade die automatische Erhebung und Verarbeitung von GPS-Daten, die vom iPhone an Apple gesendet werden, hatte 2010 für Wirbel gesorgt. Vor allem, weil Apple nicht erklärt, welche Daten dabei erhoben und mit welchen anderen Daten sie verknüpft werden. Auf eine erneute Anfrage von SPIEGEL ONLINE zu den Fragen, die wir schon im Juni 2010 gestellt hatten, reagierte Apple mit der Standardantwort: „Kein Kommentar“.

Die weiteren Preisträger

• Der deutsche Zoll wird ausgezeichnet, weil er Firmen im Zuge von Handelserleichterungen zu freiwilligen Sicherheitsüberprüfungen auffordere, bei denen Daten von Mitarbeitern mit EU- und teilweise auch mit US-Anti-Terror-Listen abgeglichen werden. Dabei ist das in Deutschland eigentlich datenschutzrechtlich unzulässig.
• Die Daimler Benz AG in der Kategorie Arbeitswelt, weil sie „ohne Rücksicht auf Persönlichkeitsrechte“ flächendeckend Bluttests von ihren Produktionsmitarbeitern einfordert.
• Der Verlag für Wissen und Innovation in Starnberg im Bereich Verbraucherschutz, weil er Adressen sammelt, indem er an Schulen Büchergutscheine verteilen lässt, die nur einlösbar sind, „wenn man Namen und Anschrift des Kindes und mindestens eines Elternteils zurückmeldet.“
• Der niedersächsische Innenminister Uwe Schünemann (CDU) in der Kategorie Politik, weil er im Rahmen der Proteste gegen einen Castor-Transport im Wendland „den ersten nachgewiesenen polizeilichen Einsatz einer Mini-Überwachungsdrohne bei politischen Versammlungen“ genehmigt hat.
• Die Modemarke Peuterey, vertreten durch die Düsseldorfer Modeagentur Torsten Müller, in der Kategorie Technik, „weil sie Kleidung mit verdeckt integriertem RFID-Chip in Verkehr bringt, der berührungslos auslesbar ist, ohne dass die Kunden das bemerken.“