Webmasterfriday: NSA und Gegenmaßnahmen

Es ist Webmasterfriday, diesmal mit dem brandaktuellen Thema NSA/PRISM. Ihr habt ja sicherlich mitbekommen, dass der amerikanische Militärnachrichtendienst NSA einen Großteil der weltweiten digitalen Korrespondenz mitliest bzw. speichert. Es ist wirklich bedauernswert, dass die Amerikaner es offensichtlich als notwendig erachten, friedliche Bürger auszuspionieren, um die Möglichkeit zu besitzen, unter Umständen (!) Terroranschläge verhindern zu können – meine Meinung von den USA verbessert ein solches Verhalten auf jeden Fall nicht. Leider zeigt dieser Skandal auch, dass wir in Deutschland offensichtlich von merkbefreiten konservativen regiert werden – anders ist es wohl nicht zu erklären, dass ausgerechnet der Friedrich am lautesten schreit, das könne ja so wohl nicht gehen. Merkt irgendwie keiner, dass er das sonst auch immer fordert.

Aber zurück zum Thema: Ich fühle mich zwar nicht direkt überwacht, kann mir aber gut vorstellen, dass einige meiner Accounts der NSA zumindest bekannt sind und ein Teil meiner Mails mitgelesen wird, denn von beidem habe ich reichlich. Ich kann aber auch nicht einsehen, dass ich – der nichts zu verbergen hat, was NSA & Co interessieren könnte – mich überwachen lassen soll. Das geht die Amerikaner einen feuchten Kehricht an, genauso wie unsere Regierung, Geheimdienste und die Wirtschaft im Allgemeinen übrigens auch. Meine Daten gehören mir, und derjenige, der über den Verbleib meiner Daten entscheidet, möchte eigentlich schon ganz gerne ich sein.

Ganz richtig ist in dem Zusammenhang natürlich vor Allem, was Sebastian schreibt: Sicher sind nur Daten, die nicht erhoben werden!

Sicher, einiges von meinen Daten vertraue auch ich internationalen Unternehmen an – aber ich entscheide, was und vor allem wem. Dazu kommt natürlich, dass Mediafire, Feedly, Twitter und Evernote nichts zu sehen bekommen, was kritisch wäre – mehr als personalisierte Werbung kann mit den Daten nicht passieren und für die habe ich immernoch Ghostery und AdBlock (für Chrome, ohne Plus!). Die einzige Ausnahme, bei der etwas potentiell kritisches auflaufen könnte, ist demnach Google – und auch da ziehe ich mich allmählich zurück auf selbstgehostete Dienste.

 

Warum PRISM & Co. wirklich ganz großer Mist sind

Anfang des Jahres hat der von mir sehr geschätzte extra3-Moderator Christian Ehring sich noch über die Überwachungspläne der deutschen Regierung lustig – wenn man nicht weiß, wo der Pulli liegt, einfach beim BKA anrufen, die durchforsten mal ihre Kameraaufnahmen. Einen ähnlichen Witz (oder eine echte Story?) gibt es jetzt mit einem PIN-vergessenden Amerikaner und der NSA – nur dass mir diesmal irgendwie das Lachen im Halse steckengeblieben ist, denn mittlerweile kann ich mir so richtig gut vorstellen, dass die NSA das wirklich alles weiß. Die Überwachung hat nicht nur negative Seiten. Haha, wer’s glaubt.

Natürlich stellt sich, auch, wenn man die vierteljährlichen, reflexartigen Überwachungsfantasien gewisser deutscher Politiker beachtet, die Frage, ob das in einer Demokratie überhaupt noch vertretbar ist. Einen interessanten Ansatz hierzu liefert AMUNO aus dem Literaturasyl:

Der Souverän ist der Bürger und der Staat hat dem Bürger zu dienen. […] Die Bürgerrechte sind eine wunderbare Errungenschaft. Keine Angst auf der Welt ist groß genug um diese wieder aufzugeben. (…)
— _AMUNO auf Literaturasyl.de

An der Stelle muss man sich mal vor Augen führen, dass das nicht nur das Idealbild einer Demokratie ist, sondern sogar im Grundgesetz steht:

Alle Staatsgewalt geht vom Volke aus. Sie wird vom Volke in Wahlen und Abstimmungen und durch besondere Organe der Gesetzgebung, der vollziehenden Gewalt und der Rechtsprechung ausgeübt. [— (Art. 20, Abs. 2 GG)]

In der Wikipedia findet sich hierzu eine interessante Interpretation, die ich vollkommen unterstütze:

Das Volk wird als Souverän verstanden, das durch „besondere Organe der Gesetzgebung“ (Legislative) (…), „der vollziehenden Gewalt“ (…) und „der Rechtsprechung“ (…) vertreten wird. Diese Organe üben repräsentativ für das Volk die Staatsgewalt aus. […] Im Absatz 2 wird das Volk als konstitutiver Begründer der Staatsgewalt definiert. Durch die Formulierung „Alle“ wird festgehalten, dass es keine Gewalt mehr geben darf, die nicht vom Volk begründet [— Wikipedia

Interessant, nicht? Im ersten Zitat habe ich übrigens das hier ausgelassen:

Wer Geheimnisse hat,der hat etwas zu verbergen und solte schleunigst abgewählt werden. — _AMUNO auf Literaturasyl.de

Darauf aufbauend würde ich meine Meinung ähnlich, aber doch etwas anders formulieren: Wer die uns zugesicherten Bürgerrechte auch nur anfassen will, sollte sofort und direkt abgewählt werden.

Sogar Unternehmen sind dazu verpflichtet, Kundendaten nur anonym zu übermitteln (Art. 30 BDSG), warum gilt das nicht für Behörden? Die geht meine Kommunikation genauso wenig was an wie Unternehmen. Einfach so ungefragt Daten erheben ist Unternehmen gleich ganz verboten worden (Art. 30a BDSG) – unsere astrein demokratischen Behörden machen es einfach, basierend auf einer für mich äußerst fragwürdigen Gesetzesgrundlage. Im Telemediengesetz (Art. 13 TMG) gibt es die Pflicht, die Kunden über die Datenspeicherung zu unterrichten und ihnen die Möglichkeit zu geben, den Service nicht zu nutzen, wenn sie mit der Speicherung nicht einverstanden sind. Ohne Snowden wüssten wir, dass das BKA das gern tun würde und den Verdacht hätten wir trotzdem – jetzt wissen wir, dass unsere Daten ohne unsere Erlaubnis gespeichert und überprüft werden. Kündigen können wir den Service „Rechtsstaat“ leider nicht (nichts gegen den Rechtsstaat, der ist an sich sinnvoll!).

Und wie war das nochmal mit den Menschenrechten?

Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.

Art. 12 der Resolution 217 A (III) (UN-Generalversammlung, 10.12.1948) – Allgemeine Erklärung der Menschenrechte

Sieh mal einer guck! Der ganze Mist, den die astreinen Demokratien auf dieser Welt da mit unseren Daten verzapfen, verstößt ja glatt gegen die 1948 festgelegten Menschenrechte! Das konnte bei unseren Regierungen ja wirklich keiner ahnen, woher sollen die denn das wissen? >:-[

Was aber tut man gegen eine so tiefgreifende, unfreiwillige Überachung?

 

Gegenmaßnahmen

Eins ist sicher: So kann das nicht weitergehen. Wir sollten den Geheimdiensten also die Arbeit so schwer und unmöglich wie nur möglich machen, und das geht wohl am besten mit Kryptografie. Es reicht nämlich keinesfalls, nur „nichts anzustellen“, wie Melanie sich das denkt. Das mag vielleicht für sie eine Möglichkeit sein, ich stecke vielleicht zu sehr in meinem politischen Umfeld als dass ich akzeptieren könnte, dass ich überwacht werde – siehe oben. Ich gebe dabei offen zu, dass ich mir bislang keine großen Gedanken darum gemacht habe, das wird sich jetzt ganz sicher ändern.

Wesentlich sinnvoller sind da schon die Schritte, die sich Tina gesucht und teilweise auch schon umgesetzt hat:

  • möglichst wenig Mails, wichtige Kommunikation am besten ganz offline
  • altmodisches Mobiltelefon anstatt eines Smartphones
  • immer mit Bargeld zahlen
  • keine Chats – weder Text- noch Voice- oder gar Bild-Chats
  • Antivirus-Programm

So weit, so gut. Teilweise ist das halbwegs verlustfrei umsetzbar (möglichst wenig Mails, nicht unbedingt ein Smartphone), aber spätestens beim Verzicht auf digitale Währungen hört es auf. Es mag bei vielen Webshops möglich sein, auf Rechnung oder – noch besser – mit Guthabenkarten zu zahlen. Aber eben nicht überall, also fällt das (für mich) raus. Ein Antivirus-Programm kann die meisten Trojaner und ihre Kompagnons abfangen – aber alle Daten, die den Rechner verlassen, sind angreifbar. Auch auf Chats mag ich nicht verzichten – das ist für Gamer eigentlich auch unmöglich, gerade wenn man im Team spielt.

Einen guten Überblick, was man zu seiner eigenen Sicherheit, besonders zur Anonymität im Netz tun kann, hat im Januar Patrick Beuth unter dem Titel „Mein digitaler Schutzschild“ auf Zeit Online veröffentlicht. Dabei rate ich vor allem zu den Artikeln über Tor, VPN, Mail-Verschlüsselung und Datei-Verschlüsselung. Die anderen beiden Artikel zur Installation von Ubuntu und anonymen Postfächern sind dort jeweils verlinkt.

Interessant ist in diesem Zusammenhang sicherlich auch der Besuch einer Crypto Party, wie sie derzeit etwa die Piratenpartei anbietet. Dabei wird Laien von Nerds und Hackern beigebracht, wie sie sich schützen können – gewisse Überschneidungen mit der Artikelserie von zeit.de sind dabei wohl zu erwarten. Termine gibt es auf dem deutschen Twitter-Kanal.

Wer Grundlagen der Kryptografie verstehen will, sollte sich mal cryptoportal.org ansehen. Das ist zwar eine Plattform für Lehrmaterialien zur Kryptografie, aber das sollte keine Schwierigkeit sein, denn die Grundlagen sind die selben.

Die federführende Gruppe bietet auf ihrer Seite mit JCrypTool unter Anderem auch ein Tool zum Lernen und Verstehen von Kryptografie. Ihr braucht nichts weiter als einen Rechner mit installiertem Java.

Grundlagen gibt es von der selben Gruppe auch im Browser, nämlich hier.

Ich habe mir dabei erstmal einen Workaround gebaut, da ich mich natürlich auch erst mit der Installation dieser Tools auseinandersetzen muss. Dieser Workaround basiert im Wesentlichen auf drei Browser-Tools, da ich mittlerweile vorwiegend im Browser arbeite.

  • Ghostery – blockt Tracking-Dienste
  • AdBlock – Werbeblocker. Gute Alternative zu AdBlock Plus (das ja in letzter Zeit in Verruf geraten ist)
  • Zenmate – ein deutsches Tool, das es einfach ermöglicht, den Browser-Traffic über die Proxy-Server des Anbieters umzuleiten. Kleines deutsches Startup, für den Übergang sicherlich brauchbar.

Sonstige Maßnahmen:

  • Ich versuche derzeit, das ganze etwas zu entzerren, indem ich vieles auf selbst gehostete Programme umziehe, etwa Mailserver. Dann kann ich wenigstens sicherstellen, dass es keine Backdoors in den Tools gibt.
  • Nutzung von Guthabenkarten, Paysafecard, Bitcoin etc. – und, wenn möglich, Bargeld. Das sorgt dafür, dass eure Zahlungshistorie schlechter nachvollziehbar und im Idealfall gar anonym ist.
  • Auch die Nutzung von kleinen Services und Hostern anstatt größerer Hoster kann helfen, die Wahrscheinlichkeit, dass die Behörden hier eine Backdoor haben, ist geringer als bei großen Services
  • Nutzung alternativer Suchmaschinen. Google speichert bekanntermaßen per default eure Suchen, es gibt einige Alternativen, die das nicht tun. Eine erste Zusammenfassung liefert die t3n

Fazit

Ich muss natürlich noch weiter graben und an meinem Setup arbeiten, dafür verspreche ich hier schonmal einen neuen Artikel, zumal ich sicherlich noch einige Links nachschieben wollen. Die oben genannten Links sind auf jeden Fall schoneinmal ein Anfang, wenn man sich da durchgearbeitet hat, hat man schonmal gute Grundlagen, um der Datensammel-Wut von NSA & Co zu entgehen.

Links