Politiet: Sessionslogning kunne have hjulpet terror-efterforskning

Internet-logning havde ført til hurtigere anholdelse af manden bag skyderiet ved Krudttønden og i Krystalgade, mener politiet.

Hvis sessionslogning havde været i værk i februar sidste år, ville manden bag terrorangrebet i København være identificeret og anholdt tidligere. Sådan lyder konklusionen i en udtalelse fra Rigspolitiet til Justitsministeriet.

Det skriver DR.

Læs også: Pind om skrottet lognings-lov: Vi er ikke i tvivl om, at det ville virke

Både politiet og justistminister Søren Pind har nævnt skudepisoden som et argument for at indføre den sessionslogning - et forslag, der tidligere på året blev sparket til hjørne, men som efter planen skal tages op igen efter sommerferien.

Nu har ordensmagten - på opfordring fra Liberal Alliances Christina Egelund - givet en mere detaljeret beskrivelse af, hvordan sessionslogning kunne have hjulpet efterforskningen.

Konklusionen er klar: Loggede data fra gerningsmanden telefon kunne have været ‘et vigtigt redskab i arbejdet med lokalisering og identifikation af gerningsmanden og i den efterfølgende efterforskning,’ står der i redegørelsen.

Læs også: Pind: Modstand mod sessionslogning er uansvarlig

Da gerningsmanden blev skudt på Svanevej morgenen efter angrebet, havde han to telefoner på sig. Den ene havde været brugt til at bestille en taxa og derefter slukket, og den anden var med et data SIM-kort udelukkende opkoblet til internettrafik.

‘Det er således konkret Københavns Politis vurdering, at identifikationen af gerningsmandens anden telefon, i hvilken han som nævnt anvendte et data-SIM-kort, kunne have ført til identifikation og anholdelse af gerningsmanden tidligere i forløbet,’ fortsætter politi-redegørelsen.

Læs også: Digitale spor smuldrer for politiet: Tiden er løbet fra telelogning

Politiet vil ikke gå så vidt som at sige, om oplysningerne kunne have forhindret skyderiet i Krystalgade, der fandt sted efter de første skyderi mod Krudttønden. I det hele taget ledsages konklusionen af det væsentlige forbehold, at politiet ikke ved hvilken internettrafik, telefonen har brugt - og dermed, hvad logningen kunne bidrage med.

‘Uden eksakt kendskab til gerningsmandens anvendelse af internettrafik og uden kendskab til selve indholdet af kommunikationen op til dette tidspunkt er det ikke muligt at redegøre for, hvilken forskel for efterforskningen det havde gjort, såfremt politiet havde haft adgang til de loggede oplysninger, herunder hvor hurtigt politiet i givet fald kunne have fået adgang hertil, står der i redegørelsen.

Læs også: Justitsministeriet: Nyt sessionslognings-forslag efter sommerferien

Søren Pind valgte tidligere på året at sætte planer om at genindføre sessionslogning på pause med henvisning til den økonomiske byrde tiltaget i givet fald ville betyde for teleindustrien. Efter planen skal arbejdet med at genetablere internetlogning - der blev afskaffet i 2014 - i en eller anden form ved næste folketingssamling.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

...kan man ikke se skoven for bare træer. Hvis de har nok kig på en person til at de kan målrette efterforskning, er der udemærkede muligheder i lovningen, for at foretage aflytning.

Terroristerne har da først vundet, hvis myndighederne begynder at masseovervåge os alle sammen. Om en hel masse private aktører teknisk set får til opgave kun at udlevere data mod en dommerkendelse gør det ikke bedre. Den slags har jo flere gange lækket fortrolige data her i landet.

  • 16
  • 0
Ditlev Petersen

Du kan ikke BEVISE, at det IKKE er sådan. Og så MÅ det være sådan. For det har politiet selv sagt og politiet tager aldrig fejl. </sarkasme>

Faktisk kendte politiet jo den fyr i forvejen, og fængselsvæsnet gjorde også. Alligevel skete attentatet (eller hvad man nu vil kalde det). Hvordan muligheden for at gennemtrawle al mobiltrafik, tale som data, ville have forhindret eller afsluttet sagen, mangler vi stadig en forklaring på. Når nu de eksisterende oplysninger ikke gjorde.

Jeg må hellere melde mig selv, inden jeg evt. drikker mig fuld og bliver radikaliseret.

  • 11
  • 0
Mogens Ritsholm

Der går mindst 6 timer og realistisk op til et lille døgn før data er kommet igennem "maskineriet", så de kan udleveres fra alle udbydere.

Og hvis man ikke har en specifik identitet eller et meget nøjagtigt tidspunkt man kan søge på, forestår en vanskelig opgave med at afgrænse interessante objekter for efterforskningen. Oplysninger om sted kan ikke bruges i denne søgning, da masterne jo betjener mange.

Så man kan med det samme tilbagevise rigspolitiets påstand som det rene sludder.

Det er dybt bekymrende, og det rejser alvorlige spørgsmål ved den kultur, der åbenbart hersker i rigspolitiet.

Man mener åbenbart, at man kan lyve, fordi politikerne ikke kan gennemskue det.

Der bør iværksættes en uvildig undersøgelse af påstanden.

  • 24
  • 0
Jesper Lund

Så man kan med det samme tilbagevise rigspolitiets påstand som det rene sludder.

Enig. Og i øvrigt spurgte MF Christina Egelund til sessionslogning, hvorefter Justitsministeriet/Rigspolitiet svarer med en lang teori om hvordan en ikke-eksisterende næsten real-time adgang til masteoplysninger via udvidet teleoplysning måske kunne have hjulpet med at indkredse Omar El-Hussein lidt tidligere.

Med de sædvanlige antydninger af at sessionslogning omfatter masteoplysninger.

  • 12
  • 0
René Nielsen

Jeg tror ikke at sessionslogning kunne have hjulpet med til at lokaliser og identificer gerningsmanden indenfor den ca. 12 timers periode der gik fra første skud til GTA tossen var skudt.

Og i modsætning til politiet vil jeg forklare hvorfor politiet tager fejl. Politiet havde nemlig havde ikke de omtalte telefoner bør bagefter – altså efter GTA-tossen var skudt.

Så man skulle analyser alt mobildatatrafik i det indre København og det er meget stor høstak samtidig med der skydes i gaderne. Jeg tror ikke at politiet ville prioriter dette arbejde og så har jeg lavet den urealistiske forudsætning at alle ISP’erne ikke skal bruge tid på fremskaffe dataene og at politiet ikke skal bruge tid på at ”loade dataene”.

Det er i min verden helt urealistisk at sessionslogning – uanset formen - kunne have hjulpet politiet i den 12 timers periode som angrebet foregik i. Det er langt mere sandsynligt politiet var ført på vildspor af dataene, fordi vi af empirisk erfaring fra den første sessionslogning at politiet var ude af stand til anvende sessionslogningen til opklare forbrydelser.

For at sige det brutalt, så har/havde politiet ingen brugbar erfaring i at anvende dataene, så hvorfor skulle politiledelsen dog pludselig mene at alt er anderledes?

Det muligt at sessionslogning i månederne efter episoden kunne havde brugt dataene, men det var ikke det som spørgsmålet fra Christina Egelund fra Liberal Alliance lød på.

Det lød ”hvordan den omdiskuterede sessionslogning specifik kunne have gavnet jagten på gerningsmanden”.

  • 13
  • 0
Jesper Lund

Så man skulle analyser alt mobildatatrafik i det indre København og det er meget stor høstak samtidig med der skydes i gaderne. Jeg tror ikke at politiet ville prioriter dette arbejde og så har jeg lavet den urealistiske forudsætning at alle ISP’erne ikke skal bruge tid på fremskaffe dataene og at politiet ikke skal bruge tid på at ”loade dataene”.

Teorien er at hvis man ved at en ukendt person har været N steder på kendte tidspunkter, så kan man finde personen ved at se på hvem der har været disse N steder via masteoplysninger (og udvidet teleoplysning).

Et par begrænsninger

  • Der er mange master i København, og telefonen har ikke altid forbindelse til den nærmeste.
  • Måske er der ikke registreret noget på masten. Kræver at opkald startes/afsluttes, SMS modtages/sendes, eller noget datatrafik som registreres på forskellige måder af forskellige teleselskaber (fordi der ikke er noget lovkrav om registrering af masteoplysninger for datatrafik, jf. Justitsministeriets egen udlægning af logningsbekendtgørelsen i 2013).
  • Alle mastedata skal være tilgængelige, og det kan politiet kun være sikker på, hvis det er 24-timer gamle data.
  • Listen med personer, som har befundet sig alle steder, skal ikke være for lang; her kan man godt være lidt skeptisk overfor metoden, da der er mange personer i København. REU svaret nævner faktisk at politiet identificerede et par personer, som havde været 2-3 steder ifølge masteoplysningerne, men det var ikke Omar El-Hussein.
  • 13
  • 0
René Nielsen

Teorien er at hvis man ved at en ukendt person har været N steder på kendte tidspunkter, så kan man finde personen ved at se på hvem der har været disse N steder via masteoplysninger (og udvidet teleoplysning).


Jeg kender teorien og anser den urealistisk fordi teorien forudsætter at den mistænkte ikke på noget tidspunkt slukker telefonen eller på anden vis afbryder netværksadgangen.

Men tror man på teorien, så ved vi, at det er langt fra sikkert at en mobiltelefon registers på nærmeste telefonmast.

Jeg er sikker på at Mogens Ritsholm kan teknisk forklare hvorfor, men derfor er man er nød til at inddrage en meget større geografisk område end de telefonmaster som er nærmest Krudtønden.

I dag ved vi at GTA-tossen rent faktisk slukkede telefonerne og anvendte taletidskort. Og ser vi ud i verden, så følger "bad guys" med udviklingen idet terroristerne fra november i Paris anvendte deres offers mobiltelefoner. De rettede et stormgevær imod uskyldige og gav besked om at udleverer deres oplåste mobiltelefon.

  • 5
  • 0
René Nielsen

Nu blev jeg lidt nysgerrig for at se hvor mange mobilmaster der var ved Krudttønden - for på den måde at få et indtryk af den høstak politiet "ville have bordet".

Gå ind på https://www.mastedatabasen.dk/ og tast adressen på Krudttønden (Serridslevvej 2. 2100 KBH Ø). Jeg synes at der er mange mobilmaster i den bydel hvor stort set byggeri er i 4-5 etager.

Men kan Mogens Ritsholm eller en anden telefonkyndig person sige hvor stor radius skal være for at vi er sikker på, at en mobiltelefon er "dækket" altså en person ved Krudttønden som ikke tilmeldt den nærmeste mast, men derimod tilmeldt en mobilmast som ligger længere væk?

  • 2
  • 0
Mogens Ritsholm

Jeg er sikker på at Mogens Ritsholm kan teknisk forklare hvorfor, men derfor er man er nød til at inddrage en meget større geografisk område end de telefonmaster som er nærmest Krudtønden.

Jeg er ingenlunde specialist på radioudbredelse i byer, og mit kendskab til 4g er begrænset

Men det er velkendt, at radioudbredelsen i byområder er præget af de skygger, som bygninger skaber.

Mobilen vælger det bedste signal, og det kan godt være fra en celle flere kilometer væk, selv om der er mange celler tættere på. For at den ikke skal "flippe" er der en hysterese, så den først skifter celle, når et andet signal fra en anden celle giver et væsentligt bedre signal. Den kan således blive hængende på en fjern celle, der har et brugbart signal lige der, hvor mobilen befinder sig.

Måske er det bedste svar at henvise til Christian Pantons udlevering af sessionslog med celleoplysning, som TDC mobil havde registreret. Den viste jo ofte, at han var et helt andet sted i byen end der, hvor han faktisk befandt sig.

Så det er korrekt, at rigtig mange celler må inddrages i en søgning, og i kampens hede vil man nok hellere vælge en for meget end en for lidt.
Også på grund af strukturen i data.

Lad os så sige, at man fik identificeret gerningsmandens telefon. Så er næste problem at finde ham. For igen kan man selv med løbende teleobservation kun sige, at han er et eller andet sted i byen.

Ude på landet kan man nogenlunde stedfæste en mobil ved triangulering eller andre metoder, hvor dens signal iagttages fra flere master. Men det kan man ikke i et byområde.

Så den bedste aktion er under alle omstændigheder at bevogte sandsynlige mål. Og det gjorde man jo også - bare ikke godt nok.

Men som jeg tidligere skrev, er det helt urealistisk at man i løbet af få timer kan have data fra mobilselskaberne en lørdag eftermiddag. Data skal indsamles i en polling proces fra netenheder. De skal bearbejdes og raffineres i en proces, hvor mange rent tekniske data sorteres fra osv.

Derfor er det retningsgivende krav for udlevering af logningsdata også 24 timer, selv om visse typer data kan udleveres hurtigere. Loven nævner dog ikke de 24 timer explicit. Men spørgsmålet blev diskuteret en del med justitsministeriet. Så de burde vide det.

  • 13
  • 0
Kenn Nielsen
  • 7
  • 0
Finn Thøgersen

Hvis han som beskrevet har haft 2 telefoner med taletidskort, en til tale og en til data, vil de opføre sig forskelligt.

Pga forskelle i operatør, telefon, antenneforhold osv kan de sagtens lande på hver sin mast i forskellige retninger

Tale har forret og bliver hængende på en celle hvis muligt, mens dataforbindelser vil blive sparket over på en anden celle/mast hvis der kommer flere taleopkald på cellen end der er ledige slots.

Dvs dataforbindelsen formodentligt starter i rimelig afstand fra Krudttønden, og da panikken starter og der kommer flere opkald bliver den sparket længere og længere væk fordi de mange taleopkald sætter sig på de centrale celler/master
Det gælder så også for alle dem der sidder i området og ser YouTube, Facebook, X-hamster osv på telefonerne

Og med det pres der lokalt må have været på nettet vil du kunne opleve ting du normalt ville forsværge, såsom at 3 opkald fra samme telefon & lokation med få minutters mellemrum lander på hver sin mast fordi de centrale celler er fuldt bookede og du for at få en talekanal ryger ud på master der er så svage at telefonen aldrig selv ville have valgt dem, og dermed slipper dem igen så snart det er muligt.

Selv hvis de havde real time adgang til logdata er der en væsentlig opgave i at få samlet data i en brugbar form og i at få sorteret de ufattelige mængder ral fra.

Det er noget man kan bruge efterfølgende, velvidende at det som alt gum-shoe arbejde er tidskrævende og 99% blindspor.
Men mens det brager løs er det simpelthen ikke resourcer til det - medmindre du har bedre data at start med.

Hovedproblemet er at de ikke havde andet end lokation og ca tidspunkt, men ingen ide om der overhovedet var en telefon indblandet eller hvad de(n) i givet fald har lavet, mao en usynlig, ikke metallisk nål i en høstak

Og indtil politiet fik nedkæmpet ham og stod med telefonerne er der vel kun ét tidspunkt hvor de faktisk ved at han overhovedet har en telefon på sig, endsige har brugt en, nemlig det overvågningsbillede hvor han ringer efter en taxi.
Nu kan jeg ikke huske hvornår den optagelse blev fundet, men det har garanteret taget nogen timer inden man fandt lige netop den sekvens i bunken af clips fra diverse overvågningskameraer.

Først der har de noget konkret at arbejde med

  • 9
  • 0
Claus Waldersdorff Knudsen

Ej altså. Nu må i holde op!

Enhver der har set en krimi lavet efter ca 1995 vil vide, at man til enhver tid kan spore en mobil med ca 1m nøjagtighed i løbet af højst 30 sekunder.
Lur mig om ikke politiet og SP har set de samme film og er blevet kraftigt inspireret.
:-)
Og så er der altså ikke nogen herinde, med forstand på tingene, der skal komme og forplumre debatten med noget så kedeligt som fakta.

Ha' en god weekend.

  • 14
  • 0
Mogens Ritsholm

Med de sædvanlige antydninger af at sessionslogning omfatter masteoplysninger.

Du har helt ret Jesper.

Tankegangen i Rigspolitiet er, at man bør genindføre sessionslogning og udvide det med celleoplysninger for mobil.

For så får man de lokaliseringsoplysninger, der kan have værdi ved efterforskning, selv om det jo ingenlunde kunne have hjulpet til at afværge terroristgerningen i Kbh. Det er som sagt nonsens.

Men der har faktisk ikke været underbyggede argumenter for at genindføre sessionslogning, som den var defineret.

Hvorfor skal det så genindføres og udvides med celleoplysninger for mobil, når det alene er celleoplysningerne der kan have en reel efterforskningsmæssig værdi? Det viser alle politiets eksempler fra mordet i tusindårsskoven til terrorhandlingen i Kbh. Hver gang er det lokaliseringsdata, som politiet peger på og ikke sessionslogning, som den var defineret.

Kan man slet ikke tænke den tanke, at der kunne findes en eller anden løsning for lokaliseringsdata i mobilnet uden absolut at genindføre sessionslogning?

Jeg forstår, at der i mobilnettene skabes tekniske data om lokalisering, som ikke nødvendigvis skal knyttes til hvert eneste trafikelement.

Hvorfor ikke se på disse muligheder, og så vurdere sessionslogning særskilt. En vurdering, hvor der efter min mening ikke kan påvises et behov for at genindføre sessionslogning.

  • 10
  • 0
Bent Jensen

Efter samfundet i flere årtier vil bruge milliarder årligt på noget som ikke fungere.
Fordi man lade telefonen bliver hjemme, eller sætter den i flymode, hvis man har "slemme" hensigter.

Hvis man så bruger AP i stedet for mobildata, samt SIP og VPN så er værdien af dette lige nul. Mit gratis AP alle kan tilgå rækker nemt 1-2 Km for telefoner og 2-4 Km for enheder med en god antenne.

Når eller hvis denne total tåbelig lov, som sikkert også igen vil bliver kendt uloveligt ved EU, da det høre totalitære stater til, at bruge sådan metoder. En gang træder i kraft, så bruger vi alle Kryptering, VPN TOR og andre teknologier.

Og når så huller i firmware og som det sidste i BIOS efter hånden er fundet og lukket, så famler myndigheder lige sp meget rundt i blinde som de hele tiden har gjort. Eller måske næremere mindre, når vi får brændt så meget hø af, at almindeligt politiarbejde virker igen.

  • 0
  • 0
Jens Jönsson
  • 3
  • 0
René Nielsen

Tale har forret og bliver hængende på en celle hvis muligt, mens dataforbindelser vil blive sparket over på en anden celle/mast hvis der kommer flere taleopkald på cellen end der er ledige slots.


Jeg er lidt nysgerrig. Jeg har flere gange bemærket at min iPhone under et telefonopkald taber forbindelsen til internettet, for så straks efter opkaldet at genoptage forbindelsen. F.eks. lige efter et telefonmøde på 45-60 minutter vælter det ind med beskeder.

Er det noget udbyderen styrer for på den måde at ”presse flere ind på cellen (masten)” eller det en setting på telefonen?

Og hvis det er noget udbyderen styrer – kan man så forstille sig at taledelen er på en mast og datadelen på en anden mast?

  • 2
  • 0
Bent Jensen

Selv hvis de have haft terror planner, telefoner nummer og CPR oplysninger.
Så vil det været forsvundet i systemet. ALLE de terror angreb som der har været siden 2000, også det den 11. september 2001. Der har en eller anden myndighed haft oplysninger om terroisterne. Men det er forsvundet i for meget data, eller i konkurrence eller direkte modarbejdening mellem myndigheder.
Så de skal ikke have flere beføjelser eller muligheder, men helt fjernes fra centre og pc'er, og smides ud og lave noget opklaringsarbejde.
De mennesker der er ansat har ikke evnen til at lave annelyse eller får styr på mængten af data.
Så i stedet for at give dem mere hø, så skal der brædes noget af.

http://www.dr.dk/nyheder/udland/efter-terror-fransk-efterretningstjenest...

Eller fyr alle de ansvarlige, i toppen af alle tjenesterne uden løn og pension, hver gang der jokes i spinaten. Som i den sidste sag i Danmark, hvor politifolk ikke kunne betjene et simpel skydevåben, og stod og snakket og sippet kaffe og kage i stedet for at passe deres job. Det er ikke de menig's skyld, med et ledelse problem. Så ud af vagten med dem, de har ikke været deres job voksen, ud over at få placeret fotovognen så de gav mest mulige personligt bonus. Hvornår ryger de ansvarlige der løj i retten, og lade hindre i vejen for opklaringen af brud på mennekseretigheder ?

  • 0
  • 0
Log ind eller Opret konto for at kommentere