Tiversa-Leak: Erpressen Cybersecurity-Firmen ihre Kunden?

Gerd R. Rueger Edward Snowden

Washington D.C. Schreiben Virenkiller-Anbieter selber Viren? Brechen Firewall-Anbieter bei potentiellen Kunden ein? Ist Outsourcing von Security nur die nomale Dummheit von BWL-Absolventen sprich: Managern? Oder generell ein Anzeichen für Schutzgelderpressung? Ein aktueller Leak verwies laut CNN auf solche Mafiamethoden im Cybersektor. Der Whistleblower in Snowdens Fußstapfen kommt aus der kleinen, der US-Regierung nahestehenden Cyber-Security-Firma Tiversa (Pittsburgh), welche demnach den unbeugsamen Medizinbetrieb LabMD in die Pleite trieb. LabMD-Chef Michael Daugherty prangerte FTC und Homeland Security dafür an. Ob auch Snowdens Ex-Firma Booz Allen Hamilton derartige Praktiken kennt ist bislang unbekannt.

Tiversa (Logo)

Tiversa provides P2P Intelligence services to corporations, government agencies and individuals based on patented technologies that can monitor over 550 million users issuing 1.8 billion searches a day.

Was für ein Management haben Firmen, die ihre Computersicherheit outsourcen? Wer seine Security an eine Fremdfirma vergibt oder sich sogar auf die Cloud bzw. ihre Anbieter verlässt, der ist von allen guten Geistern verlassen. Dafür suchen ihn dann Cyberdämonen heim. Das sollte eigentlich allen klar sein, die im Internet Geld verdienen wollen. Trotzdem gibt es im Bereich CyberSecurity viele Anbieter -wie könnte deren Geschäftsmodell schlimmstenfalls funktionieren?

Bei Tiversa gab es nun aktuell einen Leak mit einem Beispiel dafür, dass die Cyber-Bodygards anderen Unternehmen, die potentielle Kunden darstellen, Angst einjagen. CNN titelte am Donnerstag: „Whistleblower accuses cybersecurity company of extorting clients„. Ein echter Cyber-Biz-Skandal, den britische Medien schon aufgegriffen haben, deutsche Medien wie Bertelsmann mit „SpiegelOnline“ scheinen diesen Skandal bislang zu verschlafen. Das kommerzielle Jura-Blog Law360 berichtet ebenfalls über den Fall, der den Ruf der Cybersecurity-Branche nachhaltig ruinieren könnte:

Washington (May 05, 2015, 9:16 PM ET) — LabMD Inc. on Tuesday scored a major hit in its data security fight with the Federal Trade Commission after a former analyst at the cybersecurity firm Tiversa Inc. testified that his company lied to the agency about the extent of LabMD’s data leaks after the medical testing firm turned down its services. Law360

Der wütende Chef der von Tiversa gehackten und von der FTC daraufhin wegen der vermeintlichen Sicherheitspannen bedrängten Firma LabMD stellte den kostenpflichtigen Law360-Artikel for free auf sein Blog.

NSA, Homeland Security und Cyber-Mafia

In Mafia-Filmen kommen die Mafiosi im Laden vorbei und zertrümmern ein paar Scheiben, um dem Besitzer dann ihren „Schutz“ anzubieten. Richard Wallace, ein Ex-Cyber-Ermittler der Firma Tiversa, packte diese Woche vor einem US-Bundesgericht aus: Wallace berichtete über seine Cyberfirma, sie sei routinemäßig mit Betrug und Mafiamethoden unterwegs („routinely engaged in fraud -and mafia-style shakedowns„). Laut Tiversa-Leak soll man dort gern einen elektronischen „Einbruch“ vortäuschen, um dem verängstigten Opfer dann Security-Dienste anbieten zu können.

To scare potential clients, Tiversa would typically make up fake data breaches, Wallace said. Then it pressured firms to pay up: “Hire us or face the music” CNNmoney

Der Whistleblower Wallace berichtete vom kriminellen Hacken der Medizinfirma LabMD (Atlanta) durch ihn selbst im Auftrag von Tiversa. Danach soll Tiversa seinem Hacking-Opfer LabMD „Cyberschutz“ (emergency incident response) angeboten haben und als die sich weigerten zu zahlen, LabMD auch noch bei der Aufsichtsbehörde FTC (Federal Trade Commission) wegen „Sicherheitsmängeln“ denunziert haben:

In 2010, Tiversa scammed LabMD, a cancer testing center in Atlanta, Wallace testified. Wallace said he tapped into LabMD’s computers and pulled the medical records. The cybersecurity firm then alerted LabMD it had been hacked. Tiversa offered it emergency „incident response“ cybersecurity services. After the lab refused the offer, Tiversa threatened to tip off federal regulators about the „data breach.“ When LabMD still refused, Tiversa let the Federal Trade Commission know about the „hack.“  CNNmoney

LabMD wehrte sich gegen Cyber-Erpresser

Der Chef von LabMD, Michael Daugherty, wollte sich nicht erpressen lassen (sein Blog dokumentiert den CNN-Artikel). Am juristischen Konflikt mit der Aufsichtsbehörde FTC sei LabMD dann pleite gegangen, 40 Leute verloren ihren Job, so CNNmoney weiter:

The CEO of LabMD, Michael Daugherty, chose to fight, because a plea deal would have tarnished his reputation and killed the business anyway, he said. Daugherty lost that battle in 2014, having run out of steam. The lawsuit killed LabMD, which was forced to fire its 40 employees last year.

The Devil Inside the Beltway

The Devil Inside the Beltway

Michael Daugherty machte das Beste daraus und schrieb sich seine Wut mit einer Website und einem Buch „The Devil inside the Beltway“ vom Leib. Mit The Beltway ist in den USA der Straßenring um die Hauptstadt Washington gemeint (Capitol Beltway, die Interstate 495). Der “Washington Post”-Journalist Mike Causey gab schon 1983 dem Begriff inside the Beltway eine politische Bedeutung, die wir mit “Raumschiff Brüssel” übersetzen können: Eine eingekapselte korrupte Elite aus Politikern, Journalisten, Lobbyisten und Bürokraten, die nicht weiß und nicht wissen will, was in der übrigen Welt geschieht. „The Devil Inside the Beltway“: Ein Buch über Cyber-Erpressung und USA-Staatswillkür.

Dabei erweiterte Dougherty das Thema auch gleich auf die FTC, die Kontrollgier der US-Bürokratie (nicht dass Privatfirmen wie Google oder Facebook besser wären) und vielleicht zumindest implizit auch Snowdens NSA-Leak und die NSA-Massenüberwachung -die auch in den USA stattfindet (was US-Amerikaner empört, selbst wenn sie die Bespitzelung der restlichen Welt ganz o.k. finden). In Dougherty’s Buch trat jedoch die berüchtigte US-Behörde Homeland Security auf, die Tiversa mit einem 24-Millionen-Dollar-Auftrag zur Bespitzelung von US-Bürgern versorgt haben und dafür 23 Millionen vertrauliche oder geheime Datensätze (Medizin-, Finanz- und Militärdaten) erhalten haben soll. Der Fall von LabMD könnte auf ein lukratives Nebengeschäft dieser staatlich gedeckten Massenüberwachung durch private Cyberfirmen verweisen.

Dabei ist Tiversa durchaus eine Firma mit guten Verbindungen in die Militär-Bürokratie der USA und wirbt damit, dass Ex-General Wesley Clark in ihrem Aufsichtsrat (Advisory Board) sitzt. Tiversa war schon 2011 unrühmlich in Erscheinung getreten, als die Firma der Whistleblower-Plattform WikiLeaks in Peer-to-Peer-Tauschbörsen hinterher spionierte, so damals Wired. WikiLeaks wurde beschuldigt, selbst zu hacken statt auf Whistleblower zu warten, die brisante Dokumente einsenden -das hätte der US-Justiz strafrechtliche Ansatzpunkte zu Angriffen auf die Plattform geliefert. Mit den großen Leaks und der menschenverachtenden Jagd auf Manning und Assange wurden derartige Kleinigkeiten jedoch belanglos.

NSA und Datenschutz im Dunkelfeld der Cyber-Kriminalität

Ob auch größere CIA- und NSA-Auftragnehmer wie Edward Snowdens Arbeitgeber Booz Allen HamiltonEdward Snowden solche Nebeneinkünfte erlauben, ist bisher unbekannt. Zum Glück ist die private Industrie ja in erster Linie den Gesetzen, den Menschenrechten und ihren eigenen hohen Ethikstandards verpflichtet und keinesfalls dem kapitalistischen Profitstreben. Hoffen wir, dass dies auch für jeden einzelnen ihrer Mitarbeiter gilt, die dort als Cyberspitzel unsere privaten Daten ausschnüffeln dürfen. LabMD ist nicht einmal das einzige Beispiel, welches Whistleblower Wallace bezüglich der Angstmacherei durch Cyber-Sicherheitsfirmen zum Besten gabe: Tiversa hatte 2009 behauptet, der Iran habe die Baupläne für Obamas Hubschrauber „Marine One“ geklaut. Damals hatte der Tiversa-Chef, Robert Boback, den US-Kongress mit einem Cybersecurity-Report geschockt: Vertrauliche Daten sollten in Peer-to-Peer Netzwerken auftauchen, unter anderem hatte Tiversa militärische Dienstpläne, Evakuierungsrouten für den Präsidenten und dessen Familie, sowie technischen Daten zu Luftfahrzeugen in den Tauschbörsen entdeckt, so berichtete der deutsche Blog gulli 2009.

„Die Massenüberwachung ist real, es wird Industriespionage betrieben, und die Nachrichtendienste arbeiten außerhalb der Wahrnehmung und der Kontrolle der gewählten Volksvertreter und der Justiz“, sagte Snowden in einem „Spiegel“-Interview zur BND-NSA-Affäre. Allein die Anzahl der Selektoren, die der BND für NSA bearbeitet habe, sei „atemberaubend“. Solche Zahlen könnten nur im Kontext von Massenüberwachung entstehen. In einem System mit funktionierender Aufsicht, in dem die Analysten ihre Suchbegriffe gegenüber Vorgesetzten begründen müssten, würden derlei Größenordnungen „niemals zusammenkommen“, so kritisiert Snowden.

Überwachung sollte gesetzlich geregelt und gerichtlich kontrolliert werden, eine derartige Kontrolle DollarPyramidfinde bei der NSA aber nicht statt. Analysten könnten bei der NSA „jeden Selektor eingeben, ohne dafür im Vorfeld einen Genehmigungsprozess durchlaufen zu müssen“. Bei kleinen privaten Cyberfirmen wie Tiversa wird es noch weniger Hemmungen geben.

Massenüberwachung im globalen Maßstab funktioniere nun mal so und eine Überprüfung finde in der Regel nur nachträglich und auf Zufallsbasis statt, so Snowden. Wenn bei all dieser kriminellen Aktivität, die tagtäglich die Rechte auf Datenschutz von Millionen Menschen verletzt, einzelne private oder geschäftliche Daten von kriminellen Firmenmitarbeitern für Erpressung genutzt werden, kann das eigentlich niemanden erstaunen.

 

Werbeanzeigen

Computer Sciences Corporation (CSC) ein „Digital Blackwater“?

Gerd R.Rueger

Der BigBrotherAward 2014 in der Kategorie Wirtschaft ging an den IT-Konzern Computer Sciences Corporation, kurz CSC. Der US-Konzern Computer Sciences Corporation (CSC), bei dem selbst Bundesbehörden ihre Daten und die ihrer Bürger pflegen lassen, obwohl die Verbindungen von CSC zur US-Geheimdienstwelt keineswegs geheim sind. Sogar den Staatstrojaner ließ der deutsche Michel beim US-Unternehmen validieren. CSC bemüht sich bisweilen allerdings auch um Datenschutz – etwa zugunsten der CIA, der CSC ihren Flieger für diskrete Folterflüge in Osteuropa zur Verfügung stellte. Michael Hayden, früherer CIA- und NSA-Direktor, nannte diese Firmen begeistert „Digital Blackwater“.

BBA2014Goessner

Rolf Gössner, Foto: Matthias Hornung, CC-BY

Die Firma CSC agiert nicht nur in der Informationstechnik, sondern auch in der Luftfahrt, betreibt über ein Subunternehmen Charterflüge der besonderen Art -als Vertragspartner der CIA bei dessen Entführungsflügen. So lautet die Anklage anlässlich der Verleihung des Negativpreises Big Brother Award an CSC. Für das Fluggeschäft habe das Unternehmen 2003 die Tochterfirma DynCorp erworben und als Generalunternehmer im Auftrag der CIA Flüge in Foltergefängnisse organisiert. Anfang 2004 wurde so auch der deutsche Staatsbürger Khaled el-Masri entführt. Britische Wissenschaftler haben eine Datenbank mit diesen Flügen erstellt, die auch deren Betreiber auflistet, und zeigen, dass eigens für diese Flüge Tarnfirmen geschaffen wurden und hinter vielen dieser Scheinunternehmen stehe CSC. „Daten sind das nächste Schlachtfeld“, wirbt das IT-Unternehmen. Der Konzern übernimmt für US-Geheimdienste noch andere Aufträge. So ist er federführend am Projekt Groundbreaker für die NSA beteiligt. In dem zwei Milliarden US-Dollar teuren Projekt soll vor allem ein neues Computer- und Telefonnetz für den US-Geheimdienst geschaffen werden, so ND.

Fazit: Die Bundesregierung muss die Verträge mit CSC unverzüglich kündigen.

Die Begründungs-Rede der BBA-Laudatorin Rena Tangens:

CSC ist so etwas Ähnliches wie die outgesourcte EDV-Abteilung der amerikanischen Geheimdienste CIA und NSA. In Deutschland ist er vertreten durch eine Niederlassung in Wiesbaden, die „CSC Solutions Deutschland GmbH“ und erledigt Aufgaben für die Bundesregierung – doch schauen wir erst mal auf das Geschäftsgebaren unseres Preisträgers international.

Seit Jahren bereits beauftragen die USA private Firmen mit Einsätzen in Kriegsgebieten. Den Namen der bekanntesten und besonders verrufenen Firma – Blackwater1 – haben Sie vielleicht schon einmal gehört. Weniger bekannt ist, dass auch die Geheimdienste der USA im großen Stil heikle Aufgaben an kommerzielle Firmen auslagern. Das sind die sogenannten „Private Intelligence Contractors“. Michael Hayden, früherer CIA- und NSA-Direktor, nannte diese Firmen begeistert „Digital Blackwater“.

Digital Blackwater“

Einer dieser Auftragnehmer ist CSC – Computer Sciences Corporation. Und zwar einer der großen. CSC hat unter anderem ab 2001 das interne Kommunikationssystem der NSA ganz neu aufgebaut (Operation Groundbreaker) und bei der Gelegenheit auch gleich Mitarbeiter von der NSA übernommen.

Ab 2003 war CSC auch noch in einem keineswegs digitalen, sondern ganz handfesten BBAlogo.deGeschäftsbereich tätig: Entführungen. Mit ihrer im März 2003 gekauften Tochterfirma DynCorp organisierte CSC als Generalunternehmer im Auftrag der CIA die Flüge für den verdeckten Transport von gekidnappten Terror-Verdächtigen in Foltergefängnisse in Rumänien, Litauen, Afghanistan und so weiter – kreuz und quer durch die Welt und außerhalb jeder rechtsstaatlichen Gerichtsbarkeit. Anfang 2004 wurde so auch Khaled el-Masri entführt, ein deutscher Staatsbürger. Er wurde monatelang in Mazedonien und Afghanistan festgehalten und gefoltert, obwohl bald klar wurde, dass er Opfer einer Verwechslung und völlig unschuldig war.

In CSCs eigener Darstellung liest sich dieser Geschäftszweig so: „Mit dem Kauf von DynCorp haben wir 2003 (…) die Bandbreite unseres Serviceangebots für die US-Behörden erweitert.“2

CSC hat zwar im Dezember 2004 Teile von DynCorp wieder verkauft, das Geschäft mit den Entführungsflügen blieb jedoch bei CSC und lief bis mindestens Ende 2006 weiter – das belegen Dokumente der britischen Menschenrechtsorganisation Reprieve.

CSC im Dienst der Bundesregierung

Auch die deutsche Bundesregierung nimmt das „Serviceangebot“ von CSC immer wieder in Anspruch. Für die Beratung von Bundesministerien erhielt CSC allein in den vergangenen vier Jahren 25,5 Millionen Euro; seit der Wiedervereinigung insgesamt 180 Millionen Euro.

2009 beauftragt das Bundesverwaltungsamt die deutsche CSC per Rahmenvertrag mit EDV-Dienstleistungen für Projekte von insgesamt zehn deutschen Bundesministerien: Darunter das bundesweite Waffenregister, das Meeresüberwachungssystem „Marsur“, das Einrichten von Firewalls für die Marine, der elektronische Personalausweis (nPA) oder De-Mail, der Dienst zur „sicheren“ Kommunikation mit Behörden. Anmerkung: De-Mail enthält nach wie vor keine sichere End-zu-End-Verschlüsselung für die Bürgerinnen und Bürger.

Und noch eine delikate Aufgabe: Die Bundesregierung hat CSC beauftragt, den Quellcode des „Staatstrojaners“, der von der Gamma Group3 programmiert wurde, auf Einhaltung der Leistungsbeschreibung und der rechtlichen Vorgaben zu prüfen CSC hat damit einen detaillierten Einblick in die Funktionsweise eines Werkzeugs zur heimlichen Online-Durchsuchung von Computern erhalten, den nicht einmal die Bundesregierung selbst hat.

Nun, wir wissen sicher nicht alles darüber, welche Aufgaben die „Bandbreite des CSC-Serviceangebotes“ so alles umfasste. Hier wird es wolkig, denn die Bundesregierung verschanzt sich hinter dem Betriebsgeheimnis von CSC. Und CSC vernebelt die Verantwortlichkeiten im Dickicht seiner Firmenstruktur. Im dichten Nebel ist der rauchende Colt nicht zu sehen, aber wer die Nase etwas tiefer in die Angelegenheit steckt, merkt schnell, dass es hier und da ziemlich angebrannt riecht.

Schon klar: CSC in Wiesbaden ist verständlicherweise wenig erfreut darüber, wenn man sie mit den Dienstleistungen für die US-Geheimdienste und womöglich den Entführungsflügen in Verbindung bringt.

Aber die vorgebliche Trennung zwischen der deutschen Niederlassung und dem amerikanischen Konzern ist nicht glaubhaft und dafür gibt es einige Hinweise:

Die Mailadressen auch der deutschen CSC-Mitarbeiter/innen heißen xy@csc.com – das ist die Domain der amerikanischen Mutterfirma. Das bedeutet: Sämtliche Firmen-E-Mails laufen über den amerikanischen Server des Mutterkonzerns. Auch die Webseite der deutschen Firma liegt offenbar auf der amerikanische Webpräsenz: http://www.csc.com/de

Es gibt eine konzerneigene Wissensdatenbank, Blogs und ein internes soziales Netzwerk für den Gesamtkonzern CSC, das Geschäftsführer William L. Deckelman ausdrücklich lobt, weil sich damit „auch die Mitarbeiter an entferntesten Standorten als Teil der großen Organisation fühlen können4“. Das können wir uns gut vorstellen. Und ein informeller Austausch z.B. über die Sicherheitsarchitektur der deutschen Software in der konzerneigenen Wissensdatenbank und unter Kollegen, die teilweise vielleicht zu anderen Unternehmensteilen gehören, fühlt sich auch gar nicht wie „Geheimnisverrat ins Ausland“ an – der Effekt ist aber derselbe. Die sensiblen Daten werden nicht durch geheime Aktionen gewonnen, sondern sie werden ganz normal im Rahmen des alltäglichen operativen Geschäftes generiert. Kein deutscher Mitarbeiter wird bei seinen Tätigkeiten auch nur im Ansatz an eine “Spionagetätigkeit” denken, darin besteht die Kunst moderner nachrichtendienstlicher Operationen. Die Zielsetzung der Dienste ist es nicht, Strukturen zu observieren, sondern Teil von Strukturen zu werden5.

CSC Deutschland nutzt die Referenzen aus den USA für das eigene Marketing: So berichtet die Fachzeitschrift Computerwoche6 von einer Pressekonferenz mit CSC-Vorstandschef Peter Strabel im Jahre 2002, dass die Wiesbadener CSC sich gute Chancen auf einen Auftrag bei einem Projekt der Bundeswehr ausrechne. Zitat: „Nicht zuletzt dank der traditionell guten Geschäftsbeziehung der Konzernmutter Computer Sciences Corp. zum Pentagon in Washington D.C. sehen die Hessen hier offenbar für sich gute Chancen.“

Und schließlich rühmt sich CSC selbst im deutschen Firmenprospekt7 (Erstellt 2012, 2014 auf der CeBIT verteilt) der guten Verbindungen zu staatlichen Stellen in den USA, z.B. zur Homeland Security. Und firmiert auf dem Prospekt ausschließlich als „CSC“ ohne kleinliche Zusätze wie „Solutions Deutschland GmbH“.

Als Gründungsjahr wird in diesem deutschen Prospekt 1959 angegeben (das Jahr der Gründung von CSC in den USA) und nicht 1969 (das Gründungsjahr der deutschen Ploenzke AG, die 1995 von CSC übernommen wurde).

Tja, immer so, wie es gerade passt. Einmal die kleine einzelne deutsche GmbH, dann wieder der große Konzern mit viel Erfahrung und tollen Kontakten und Referenzen.

Big Data und Business Intelligence

Noch ein interessanter Fund bei unseren Recherchen war der CSC-Prospekt zu Big Data und PRISM_logo„Business Intelligence“, in dem die Auswertung von so genannten „unstrukturierten internen und externen Quellen“ angepriesen wird8: Internet-Foren, E-Mails, Blogs, Twitter und Facebook. Zitat: „Daten sind das nächste Schlachtfeld“.9

Die CSC-Kontaktadresse für Europa, den Nahen Osten und Afrika ist in diesem Prospekt übrigens ausgerechnet im kleinen Ort Aldershot in Großbritannien. Aldershot wird auch „Home of the British Army“ genannt – der Ort besteht zum größten Teil aus Militär. Zur Aldershot Garnison gehört auch eine militärische Abhöreinheit („Signals Intelligence“). Aber nein, diese Nachbarschaft ist bestimmt wieder total zufällig.

Doch die Bundesregierung dementiert, dass bei CSC irgendetwas nicht in Ordnung wäre. Zitat aus einer Meldung auf der Website des Bundestages10:

Die CSC Deutschland Solutions GmbH habe vorgetragen, dass sie in keiner vertraglichen Beziehung zu der US-Regierung, insbesondere nicht zu NSA, FBI und CIA stehe. ‚Innerhalb des Gesamtkonzerns sei eine andere Tochterfirma, die CSC North American Public Sector (NPS) als eigenständiger Geschäftsbereich mit Sitz in den USA, für das Geschäft mit US-Behörden zuständig. Die CSC Deutschland Solutions GmbH würde organisatorisch und personell völlig getrennt von CSC NPS operieren, es bestünde wechselseitig keinerlei Einblick in die Verträge und Tätigkeiten‘, heißt es in der Antwort der Bundesregierung.

Sie habe keine Anhaltspunkte dafür, dass die CSC Deutschland Solutions GmbH ‚in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat‘, führt die Regierung weiter aus.“

Wie würden Sie entscheiden?

Hand aufs Herz: Würden Sie „Die Firma GmbH“ mit der der Absicherung Ihres Hauses gegen Einbruch betrauen, wenn Sie wüssten, dass die auch für die Mafia arbeiten? Wahrscheinlich nicht.

Wenn „Die Firma GmbH“ nun beteuern würde, dass die mit den Mafiakontakten ein anderer Geschäftszweig seien, würde Sie das beruhigen? Wahrscheinlich nicht.

Und wären Sie so blauäugig anzunehmen, dass „Die Firma GmbH“ „nein!“ sagen würde, wenn ihr Mutterkonzern „Die Firma Corporation“ etwas über die Einbruchsicherung der deutschen Kunden wissen will? Wahrscheinlich nicht.

Unsere Bundesregierung dagegen sagt: „Dem Bundesverwaltungsamt waren bei Abschluss der Verträge mit CSC Deutschland Solutions GmbH im Jahr 2009 keine Vorwürfe gegen deren US-amerikanischen Mutterkonzern bekannt“. Dabei ist seit über zehn Jahren öffentlich bekannt, dass CSC für die NSA arbeitet11. Die NSA selbst hat im August 2001 offiziell verkündet, dass CSC den Zuschlag für die NSA-interne Kommunikation erhalten hat – „Project Groundbreaker“, ein 10-Jahres-Vertrag und 2-Milliarden-Dollar-Deal, der die Börsennachrichten bewegte.

Die Bundesregierung erklärte in einer Antwort auf eine kleine Anfrage, CSC habe mit dem Vertrag eine Sicherheitserklärung unterschrieben, dass sie keine Informationen weitergeben. Na, dann ist ja alles gut.

Wir fragen, wem die Firma im Zweifelsfall wohl mehr Loyalität entgegenbringen wird: dem deutschen Staat oder dem wichtigsten Kunden ihres Gesamtkonzerns, also den US-Behörden?

Und selbst, wenn die Firma vor 10 Jahren noch niemandem in Berlin negativ aufgefallen sein sollte: Im September 2011 berichtete die Nachrichtenagentur AP erstmals über CIA-Folterflüge mit Hilfe der Computer Sciences Corporation. Wäre es da für unsere Regierung nicht an der Zeit gewesen, die Grundlage für den Rahmenvertrag mit CSC kritisch zu prüfen?

Zero Tolerance for Torture – nicht bei CSC

Die britische Menschenrechtsorganisation Reprieve forderte CSC 2012 auf, eine Erklärung zu JSOCunterschreiben, dass sie in Zukunft keine Geschäfte mit Entführungsflügen und Folter machen werden – „Zero Tolerance for Torture“. CSC lehnte dies schriftlich ab. Und verwies auf ihr Corporate Social Responsibilty Program. Das sei doch bereits bestens geeignet, den Wert der Firma für die Aktionäre, Kunden, Communities und Angestellten zu mehren – in dieser Reihenfolge. Und da sei kein Platz für solche „special interest“-Geschichten – wie das Versprechen, keine Geschäfte mehr mit Folter zu machen. In CSCs Corporate Social Responsibility Programm steht allerdings nur etwas über Mindestlohn und das Verbot von Kinderarbeit und körperlicher Züchtigung ihrer Angestellten – nichts aber über die Art der Aufträge, die CSC annimmt.12

Der Rahmenvertrag des Bundesverwaltungsamtes mit CSC wurde von der Bundesregierung nicht offen gelegt. Wir wissen also nicht, was da drin steht. Erst recht wissen wir nicht, welche informellen Vereinbarungen zwischen der deutschen CSC und ihrem amerikanischen Mutterkonzern bestehen. All das fällt unter ihr Betriebsgeheimnis.

Organisierte Verantwortungslosigkeit

Wir fordern: Die Bundesregierung muss die Verträge mit CSC unverzüglich kündigen! Nein, wir wollen nichts über das komplexe Vergaberecht hören und dass die EU schuld sei. Wenn es der Bundesregierung ein Anliegen wäre, würde sie Wege finden, aus den Verträgen auszusteigen. Und es geht uns nicht nur um CSC, sondern um die anderen Private Intelligence Contractors wie Booz Allen Hamilton und Konsorten.

Wir fordern: Aufnahme von ethischen Kriterien in die Vergaberichtlinien – eine Firma, der Shareholder Value wichtiger ist als grundlegende Menschenrechte, sollte keine Aufträge von unserem Staat bekommen.

Zu tadeln sind die Bundesregierung und das Bundesverwaltungsamt, die diesen Rahmenvertrag an CSC vergeben haben, ohne vorher Auskünfte über die Verflechtungen der Firma einzuholen und deren Verbindungen zu anderen Auftraggebern zu prüfen. Und die auch weiterhin mit CSC arbeiten wollen.

Den BigBrotherAward allerdings bekommt CSC – denn die Private Intelligence Contractors müssen ins Licht der Öffentlichkeit, raus aus der organisierten Verantwortungslosigkeit. Dazu wollen wir beitragen.

Herzlichen Glückwunsch zum BigBrotherAward 2014, CSC!

Anmerkungen:

1 Wobei Blackwater offenbar ihre Bekanntheit zuviel wurde, seither zweimal den Namen gewechselt hat und inzwischen “Academi” heißt. http://de.wikipedia.org/wiki/Academi

2 „Major acquisition activity to expand competencies and industry expertise continues. In 2003, CSC’s acquisition of DynCorp expanded our federal employee base by more than 20,000 and broadened the scope of our service offerings to the U.S. federal government.” http://www.csc.com/ca_en/ds/11412/13354-about_csc

3 Auch die Gamma Group hat schon einen BigBrotherAward erhalten: https://www.bigbrotherawards.de/2012/.tec

4 Profilemagazine: Changemaker: Working hard and fostering change with Computer Sciences Corp.’s William L. Deckelman, As told to Lynn Russo Whylly.

Zitat: “Knowledge management is the glue that holds a lot of these things together. We’ve done a lot with our own internal website. We use blogs and other collaboration and knowledge management tools to help people—especially those in far-reaching places—feel more like a single organization.”

http://profilemagazine.com/2012/computer-sciences-corp/

5 Sinngemäßes Zitat aus Thomas Stadlers Blog internet-law, Kommentar von derweissblaue http://www.internet-law.de/2013/11/oeffentliche-auftraege-an-amerikanische-spionageunternehmen.html

6 http://www.computerwoche.de/a/csc-ploenzke-profitiert-vom-outsourcing,530129

7 https://digitalcourage.de/sites/default/files/media/ueberwachung/cebitprospekt.pdf

8 “It’s no longer a simple matter of relying on traditional sources, such as the structured data that’s held in ERP systems. Now, an organization needs the ability to derive intelligence from internal and external sources and from structured and unstructured data. These sources of unstructured data include not just the emails and calls that come into an organization, but also rich data from blog and forum threads, trending topics on Twitter, video, machine data and perhaps even conversations on Facebook.”

9 “With competitive pressures mounting daily, and with more traditional sources of competitive advantage largely table stakes, organisations are searching for new ways to get ahead. Data is the next battle ground. Or more accurately, actionable insights.”

10 Auftragsvergabepraxis bei CSC Deutschland. Antwort – 04.02.2014. http://www.bundestag.de/presse/hib/2014_02/2014_053/02.html

11 Siehe z.B. hier: Corpwatch: US: Company Seeks to Reassure NSA on Groundbreaker, by Patience Wait, Washington Technology, August 13th, 2001 http://www.corpwatch.org/article.php?id=11124 und hier: GCN – Technology, Tools and Tactics for the Public Sector: At NSA, mum’s the word on Groundbreaker’s details, By Dawn S. Onley Aug 10, 2001 http://gcn.com/articles/2001/08/10/at-nsa-mums-the-word-on-groundbreakers-details.aspx

12 Zitat aus CSCs Antwort an Reprieve: „However, CSC’s Board of Directors and executive leadership have a corporate responsibility program that fosters CSC’s growth by promoting and increasing the value of the company to its shareholders, clients, communities and employees. As such, individual pledges on specific topics, such as requested in your letter, are not within the framework of CSC’s corporate responsibility program.”

 

USA schockieren mit PRISM: Alles belauscht

Gerd R. Rueger 10.06.2013

In den USA ist der Schock groß: US-Amerikaner werden von der NSA belauscht. Der Rest der Welt wusste schon lange, dass Washington wenig verborgen bleibt. PRISM koordiniert die Überwachung diverser Netzfirmen von Microsoft über  Google, Facebook und YouTube bis zu Apple, die angeblich erst im letzten Jahr dazu kamen. Deutschland steht weit oben auf der Liste der Bespitzelung.

Whistleblower Edward Snowden

Edward Snowden (29) heißt der Whistleblower, der am 10.06.2013 geheime Edward SnowdenInformationen über PRISM und Boundless Informant der NSA an den Guardian-Journalisten Glenn Greenwald übergab. Snowden war vor rund drei Wochen mit geheimen NSA-Dokumenten nach Hongkong geflohen. In Washington fordern Hardliner eine sofortige Auslieferung Snowdens. Der Republikaner Peter King, Mitglied im Geheimdienstausschuss des Abgeordnetenhauses, verlangte eine Überstellung in die USA einzuleiten und rief zu einer „Strafverfolgung mit der vollen Härte des Gesetzes“ auf -wie bei Wikileaks.

Über Snowden ist bekannt, dass er sich -gerade volljährig geworden- 2003 für die US-Armee meldete (was auf Patriotismus oder schlechte berufliche Chancen oder beides hindeutet). Er wurde ausgemustert, nachdem er sich bei einem Trainingsunfall beide Beine gebrochen hatte, arbeitete dann als Wachmann, erst für eine NSA-Einrichtung an der University of Maryland, dann für die CIA. Ab 2007 arbeitete er als freier Mitarbeiter in einer NSA-Einrichtung auf einer US-Armeebasis in Japan.

Sein Leben vor der Veröffentlichung der PRISM-Dokumente bezeichnet Snowden als „sehr komfortabel“. Er lebte zuletzt mit seiner Partnerin auf Hawaii, wo er in einem NSA-Büro arbeitete, und verdiente ein Jahresgehalt von ungefähr 200.000 US-Dollar. Vor der Veröffentlichung der Dokumente meldete er sich „für ein paar Wochen“ bei seinem Vorgesetzten bei der NSA ab. Er benutzte dabei den Vorwand, seine Epilepsie, von der er kurz zuvor erfahren hatte, behandeln lassen zu wollen. Er flog dann am 20. Mai nach Hongkong, wo er sich aktuell (Stand: Juni 2013) vor den Häschern der US-Regierung versteckt. Obwohl sein Leak nicht annähernd die Brisanz der von Julian Assange und Wikileaks publizierten Information erreicht, zeigt er doch, dass all die Drohungen und Einschüchterungen nicht auf jeden wirken. Edward Snowden scheint ein Mann mit hohen ethischen Maßstäben zu sein, die er sich auf Dauer nicht durch Luxus und Geld abkaufen lassen wollte.

„Sie haben keine Ahnung, was alles möglich ist“, sagte er über die Spionage-File:Prism slide 5.jpgMöglichkeiten der NSA. „Die NSA hat eine Infrastruktur aufgebaut, die ihr erlaubt, fast alles abzufangen.“ Damit werde der Großteil der globalen Kommunikation automatisch bespitzelt. „Wenn ich in ihre E-Mails oder in das Telefon ihrer Frau hineinsehen wollte, müsste ich nur die abgefangenen Daten aufrufen. Ich kann ihre E-Mails, Passwörter, Gesprächsdaten, Kreditkarteninformationen bekommen.“ Snowden geht davon aus, dass er nie wieder mit Familie oder Freunden Kontakt haben werde. Seine Hoffnung sei, dass ihn Hongkong nicht ausliefern werde, weil sich die Sonderwirtschaftszone dem Recht auf freie Rede und auf politische Abweichung verpflichtet habe und die Regierung Hongkongs sei unabhängig von China. Snowden sagte, er sei zum Whistleblower geworden, weil er es nicht mit seinem Gewissen vereinbaren könne, dass die US-Regierung die Privatsphäre, die Freiheit des Internets und grundlegende Freiheiten weltweit mit seinem Überwachungsapparat zerstöre, so heise.

Deutschland im US-Spionage -Visier

PRISM ist nicht allein: Das Spionagetool BLARNEY sammelt Metadaten aus Internet-Backbone-Knoten. Ein Boundless Informant genanntes Datamining-Tool analysiert Daten, die Spionagetechnologie wie PRISM (Vorgänger: Terrorist Surveillance Program) sammeln. Damit ist die digitale Überwachung einzelner für die USA interessanter Personen möglich. Der „sinnvolle“ Umgang mit Big Data, also Datenmengen, wie sie heute in Quintillionen-Mengen (2,5 * 1030 Bytes pro Tag) anfallen, ist angeblich erst seit ca. 2010 möglich. Seit der Enthüllung von Echelon kann uns dies alles nicht mehr wirklich überaschen, oder? Dass die NSA auch Profiling, Tracing, DataMining weiterentwickeln, ist klar. Diese Netzspionage-Möglichkeiten bleiben jedoch weit hinter der US-Infiltration der Hardware durch Spionageschaltungen schon auf Mikrochips zurück, wie sie in Die Zerstörung von Wikileaks bereits 2011 enthüllt wurden -diese dürften PRISM& Co. erst richtig effektiv machen.

Hier ist nach Farben aufgeschlüsselt, in welchen Ländern wie viele Personen etc. durch PRISMA/Boundless digital verfolgt werden. Wie man sieht, liegen Syrien, Iran und Pakistan ganz vorne, aber Deutschland schneidet auch nicht schlecht ab: Wir spieleFile:Boundless-heatmap-large-001.jpgn in einer Liga mit hochbrisanten US-Zielen wie Konkurrent China, Ölkammer Saudiarabien, Kriegsgebiet Afghanistan und den USA selbst, die ihre eigenen Leute im Auge behalten wollen (was naive Gemüter dort grenzenlos erregt). Resteuropa und sogar Russland sind weit abgeschlagen im Kampf um die Aufmerksamkeit der NSA. Ob die Daten stimmen darf allerdings bezweifelt werden -Frankreich und Russland will man vielleicht nur in Sicherheit wiegen, die Deutschen schieben ja ohnehin immer Datenschutz-Panik, könnte man sich in Washington gesagt haben.

NSA-PRISM bei Wikipedia

PRISM ist laut wikipedia ein seit dem Jahr 2007 existierendes, als streng geheim eingestuftes und von der US-amerikanischen National Security Agency (NSA) geführtes Programm zur Überwachung und Auswertung von elektronischen Medien und elektronisch gespeicherten Daten. Laut einer zuerst von der Washington Post und dem britischen Guardian im Juni 2013 veröffentlichten Präsentation sind an dem Programm neun der größten Internetkonzerne und Dienste der USA beteiligt: Microsoft (u. a. mit Skype), Google (u. a. mit YouTube), Facebook, Yahoo!, Apple, AOL und Paltalk. Die Quelle der Veröffentlichungen ist Edward Snowden, ein früherer technischer Angestellter der CIA, der sich am 9. Juni in einem Interview mit den Jounalisten Gleen Greenwald und Ewen MacAskil outete.

PRISM soll eine tiefgreifende Überwachung von Personen innerhalb und außerhalb der USA ermöglichen, die digital kommunizieren. Dabei ist es der NSA und dem FBI laut der Washington Post möglich, auf live geführte Kommunikation und gespeicherte Informationen bei den beteiligten Internetkonzernen zuzugreifen. Auf welche Daten zugegriffen werden kann, soll laut einem Bericht der Süddeutschen Zeitung vom jeweiligen Anbieter abhängen. Die Veröffentlichungen zu PRISM sind Teil einer umfangreicheren Offenlegung geheimer US-amerikanischer Dokumente, die auch das Sammeln von Metadaten von Telefongesprächen in den USA, eine geheime Direktive des US-Präsidenten Obama zur Erstellung einer potenziellen Zielliste für Cyberattacken, und ein Boundless Informant genanntes Datamining-Tool beinhaltet. Dieses schlüsselt z. B. in einer Landkarte nach Farben auf, aus welchen Ländern wie viel Information kommt.

NSA-Partnerfirma Booz Allen peinlich berührt

Booz Allen Hamilton, die z.B. die Migrantenabwehr für die US-Regierung unterstützen, zeigen sich peinlich berührt über den Whistleblower Snowden und betonen, dass er nur weniger als drei Monate bei ihnen gearbeitet hat.

Booz Allen Statement on Reports of Leaked Information, June 9, 2013: Booz Allen can confirm that Edward Snowden, 29, has been an employee of our firm for less than 3 months, assigned to a team in Hawaii. News reports that this individual has claimed to have leaked classified information are shocking, and if accurate, this action represents a grave violation of the code of conduct and core values of our firm. We will work closely with our clients and authorities in their investigation of this matter. Booz Allen Hamilton

Improving Public Safety with Analytics – Booz Allen’s innovative approach to a national priority with ICE earns prestigious INFORMS analytics award

After years of gathering large amounts of data, organizations now face the challenge of interpreting the data in ways that advance their business goals or mission areas. Traditional methods of processing this much data could take years, much too long to be effective in determining probable cost, risk, and outcomes of time-sensitive initiatives. Booz Allen’s expertise in Analytics, on the other hand, enables organizations to process, interpret, and use massive data stores in weeks or months.

Booz Allen’s work with US Immigration and Customs Enforcement (ICE) demonstrates the innovative ways the firm’s capabilities and multidisciplinary experts can help government excel at achieving important mandates, such as making the country more secure. Our Decision Analytics, Cloud Analytics, and Strategy and Change Management capabilities came together to deliver superior support to the client. As further recognition of Booz Allen’s unique Analytics capabilities, the Institute for Operations Research and the Management Sciences (INFORMS) awarded its inaugural Innovation in Analytics Award to the firm.  Booz Allen Hamilton