Mar 3, 2012

DLD og Tyskland

Max-Planck-Gesellschaft's Institutt for utenlandsk og internasjonal strafferett er et tysk, velrenommert forskningsinstitutt, hvis hovedoppgave er grunnforskning innenfor kriminologi og strafferett.

Den kriminologiske seksjonen har på oppdrag fra det føderale tyske justisdepartementet utført studie og utgitt en rapport relatert mulige sikkerhetshull etter bortfallet av den tyske implementeringen av datalagringsdirektivet.
Det tyske ordet Vorratsdatenspeicherung (VDS) oversettes til "forhåndslagring av data", som er en god betegnenlse av DLD.

Den tyske rapporten (publisert i juli 2011) har bortimot 300 sider.
En stor takk til @extev som har bidratt med oversettelsen av rapportens konklusjonene. (Følg ham på Twitter!)

Rapporten er både pro og contra nytten av trafikkdata, avhengig av kriminalitetstype og hvem en spør.


Om bakgrunnsmaterialet sier rapporten:
De viktigste informasjonskilder bak undersøkelsen er kvalitative intervjuer med personer involvert i forberedelser til og praktisk gjennomføring av innhenting av trafikkdata samt evaluering av disse. Max-Planck-Instituttet intervjuet bl.a. polititjenestemenn, etterforskere og kriminologer i alle de 16 tyske delstatene samt også føderale ansatte; tjenestemenn som arbeider mot narkotika, økonomisk kriminalitet, politisk kriminalitet, terrorisme, kontraspionasje og straffeforfølgelse.
Studiet er en grundig vitenskapelig undersøkelse, men opplyser at dette er fra et ensidig grunnlag, dvs bare intervjuer med politi, etterforskere, kriminologer og andre ansatte i det tyske justisvesenet.

Hovedkonklusjonen er at det ikke kan bevises eller sannsynliggjøres 
at DLD gir justismyndighetene et spesielt verdifullt verktøy.

Eneste unntak er Informasjons- og Kommunikasjons-Kriminalitet (IuK-Kriminalität på tysk), som er betegnelsen for data og Internett kriminalitet.

Ansatte i justissystemet sier de føler seg under sterkt tidspress i saker hvor de mener at trafikkdata kan være viktige. Dette fører til vesentlig flere henvendelser for utlevering av trafikkdata enn da DLD var i kraft (for å få trafikkdata mens de ennå er tilgjengelige).
Dette gjelder spesielt saker vedrørende illegal kopiering eller deling av digitale data. (Ref. ©-Trollet)
Her blir mange saker ikke oppklarte fordi nettleverandørene ikke har eller nekter å oppgi data vedrørende "eier" av IP-adresse.
Etterforskere sammenligner mangelen på muligheten for å knytte en IP-adresse til en person med at alle kjører bil ut registreringsskilt.



Konklusjoner:

Studiens konklusjoner er delvis basert på statiske øyeblikksinntrykk. Det statistiske grunnlaget som foreligger er meget usikkert da systematiske empiriske undersøkelser ikke eksisterer.
De intervjuede tjenestemennene gav sterkt varierende vurderinger av dagens situasjon og av behovet for DLD.


Fakta om oppklaringsandeler og trender innenfor forskjellige kriminalitets områder:


Terrorfare som utgår fra islamske terrorister:
Her er det overhodet ingen ting som indikerer at DLD lagrede data de siste årene har kunnet forhindre et terroranslag.

Endringer i de spesifikke (innen samme kriminalitets grupperinger) oppklaringsandelen i tidsrommet 1987 til 2010 kan ikke føres tilbake til bruk av, eller bortfall av, DLD lagrede data.

Tilsvarende gjelder oppklaringsandelene innenfor data og internet kriminalitet.

Betrakter en spesielt året 2008, hvor DLD-lagrede data var tilgjengelige, kan det ikke for noen av de undersøkte områdene (innen de respektive kriminalitets grupperinger) fastslås en direkte sammenheng mellom tilgjengelige DLD lagrede data og oppklaringsandelen, spesielt sammenlignet med året før (2007 hvor DLD ennå ikke var implementert) og de følgende to årene 2009 og 2010. (etter at DLD igjen ble avskaffet).


Sammenligner en for 2009 oppklaringsandelen for Tyskland med tilsvarende for Sveits, er det ikke mulig å avlede noen indikasjoner på at DLD lagringen som har vært praktisert i Sveits de siste 10 årene har gitt en systematisk høyere oppklaringsandel.

Punktuelle sammenligninger mellom Tyskland, Østerrike og Sveits, hvor siden 2008 forskjellige DLD varianter er i bruk, gir ikke grunnlag for å slutte at DLD lagrede data, eller mangel på sådanne, resulterer i synlige eller påviselige sikkerhetsmessige forskjeller.

Der finnes ingen  indikasjoner på at bortfallet av DLD lagring gir dårligere (samfunns) sikkerhet.

Det kan ikke med sikkerhet utelukkes at DLD lagrede data kan gi fordel for oppklaringen av kompliserte saker og spesielt økokriminalitet.

Fokuseringen på en bestemt etterforskningsmetode, som bruk av DLD lagrede data, spesielt innenfor etterforskning av organisert kriminalitet, virker ikke plausibel.

DLD lagrede data er som regel kun til nytte i kombinasjon med andre etterforskningsmetoder.

Det finnes ingen indikasjoner på at mangel på DLD, har forhindret oppklaringen av mord.

Det kan utelukkes at mangelen på DLD lagrede data har hatt innvirkning på utviklingen av handelen med bedøvelsesmidler og andre medikamenter.

Spesielt finnes det ingen indikasjoner på at DLD kan forhindre seksuelt misbruk.


Sett fra perspektivet av de involverte utøverne, ang. konsekvensene av manglende DLD:

Det som nevnes her, er ikke nødvendigvis pro selve datalagringen av data, men er kritisk til mangelen på standarder for teleleverandørenes oppbevaring og utlevering av informasjon til justismyndighetene.
I den perioden Tyskland hadde DLD implementert, var der standarder for teleleverandørenes innbyrdes oppbevaring og utlevering av informasjon til justismyndighetene.
Etter bortfallet av DLD, legger teleleverandørene vekt på lagring av data til eget bruk, som fakturering, slik at tilgjengeligheten av trafikkdata og annen informasjon varier mellom de forskjellige teleleverandørene og også mellom forskjellige abonnementstyper hos en og samme teleleverandør.

Spesielt nevnes at nettleverandører (pga av Tysklands gjeldende utformingen av § 113 TKG ved Internett etterforskning) regelmessig nekter å oppgi abonnenten bak en IP-adresse.
Dette fører til at mange tilfeller av Informasjons- og Kommunikasjons-Kriminalitet forblir uoppklart, og tangerer spesielt etterforskningen av barnepornografi.

Data som IMSI- og IMEI-numre for å identifisere mobiler og annet telekom utstyr, er systematisk vanskelig å få da disse dataene ikke er relevante for fakturering.

Forskjellige teleleverandører har forskjellige rutiner for lagring av trafikkdata for faktureringsformål, bla avhengig av abonnementstype, slik at tilgjengeligheten til trafikkdata og annen informasjon varier mellom de forskjellige teleleverandørene  og også mellom forskjellige abonnementstyper hos en og samme teleleverandør.
Dette utnyttes bevisst av forbrytere med tilstrekkelig kunnskap.

Det finnes eksempler på saker hvor mangel på arkiverte data fører til at disse ikke kan løses eller bevises.
(Min kommentar : Det henvises også til vanskeligheter med dynamiske IP-nummer, men uten tanke for IP-spoofing (falske IP-adresser) som er svært vanlig. Til forskjell fra telefonnummer, så kan en sette opp sine egne, valgfrie IP-nummer for å generere falsk sporingsdata.)

Som spesielt utilfredsstillende finner tjenestemenn forskjellige rutinene hos forskjellige nettleverandører, og at de ofte bare kan nå rette teleleverandør  medarbeider via et call senter.

Mange tjenestemenn mener at det ofte skyldes latskap og lettvinthet fra netttilbydernes ansatte når de sier at trafikkdata og annen informasjon ikke eksisterer.

Nettleverandørene legger bare vekt på lagring av data til eget bruk, som fakturering, slik at trafikkdata og annen info kan være vanskelige å evaluere av politiet.

Tjenestemenn kritiserer manglende enhetlig bevisplikt og forskjellige rutiner hos de forskjellige nettleverandørene ved kjøp av "prepaid" SIM kort.
Ved etterforskning støter de ofte på "Donald-Duck" konti.

Samtlige intervjuede tjenestemenn er enige om at Quick-Freeze ikke erstatter DLD lagring.
Dette fordi quick-freeze ikke garanterer tilgang til historiske data.


NB: Punkt 33 i rapporten har jeg ikke fått klarhet i hva betyr, og har derfor (inntil videre) utelatt dette. 
For de som behersker tysk, ligger hele rapporten her

No comments:

Post a Comment