Der Prism Skandal. Von Geheimdiensten, Großkonzernen und naiven Bürgern

Nun ist es raus, die amerikanische NSA hört uns alle ab. Sie weiss alles über uns, naja zumindest über alle nicht- US- Bürger. Aber das ist okay so, denn nur Ausländer sind Terroristen und US- Bürger dürfen (eigentlich) nicht von der NSA ausspioniert werden.

Edward Snowden wird garantiert gewusst haben was er mit seinen Enthüllungen zum Prism Überwachungsprogramm  der National Security Agency  lostritt, und das er sich seines Lebens (leider) wohl kaum noch sicher sein kann. Egal wohin er geht. Denn nach Leuten wie dem Ex- US- Vizepräsidenten Dick Cheney ist Snowden nicht nur kein Patriot sondern schlimmer noch ein chinesischer Spion. Und was mit solchen Leuten nach in Kraft treten des Patriot Act  bzw. des Military Commissions Act  passiert kann sich wohl jeder lebhaft vorstellen. Stichwort: feindliche Kombattanten.

Nicht vergessen darf man jedoch das Snowden’s Informationen sich nur schwer bestätigen lassen. Die US Regierung wird wohl kaum alle Vorwürfe einfach so bestätigen. Das meiste gehört wohl in das Reich der Spekulationen.

Aber was ist denn eigentlich geschehen, was hat Snowden so großartiges enthüllt das die Welt schon seit zwei Wochen darüber spricht (eine ungewöhnlich lange Zeit für die heutige Medienwelt). Zuerst hat er etwas bestätigt was wir alle eigentlich wissen sollten. Die NSA filtert den weltweiten Internetverkehr im „Kampf gegen den Terrorismus“. Dies ist ja eh die Standardbegründung für die abschaffung jeglicher Bürgerrechte, nicht nur in den USA. Soweit, so gut, das machen jedoch auch andere Geheimdienste, wie z.B. der BND. Dieser unterliegt dank dem G10- Gesetzes jedoch erheblich mehr Einschränkungen, als die durch den Patriot Act von so ziemlich jeder staatlichen Aufsicht befreite NSA. Der britische Geheimdienst hat sich scheinbar sogar an den Daten der NSA bedient.

Nein es geht noch weiter, denn Massen von Daten nützen einem rein gar nichts wenn man Sie nicht gescheit miteinander verknüpfen kann. Dafür gibt es anscheinend aber eine App, wie für alles andere auch, genannt Boundless Informant. Diese ist dazu erdacht worden um Zusammenhänge in den gesammelten Daten herzustellen. Dieses Programm hat auch eine nette Oberfläche auf der zu sehen ist wo am meisten Daten gesammelt werden. Neben so netten Urlaubsgebieten wie China oder Saudi- Arabien ist dies auch Deutschland. Wie nett von unseren amerikanischen Freunden.

Und was macht man wenn die Daten die man selber sammelt nicht mehr ausreichen? Man sucht sich Verbündete. Wenn man diese in den USA im „Kampf gegen den Terrorismus“ sucht wird man auch schnell fündig, denn keine US- Firma möchte als unpatriotisch gelten. Und so pickt man sich die großen der Szene heraus, welche am meisten über Ihre Nutzer wissen. Microsoft (inkl. Skype), Google, Yahoo Facebook, Apple alle gehören Sie diesem elitären Zirkel an. Zugeben möchte (bzw. darf) es aber keiner. Es ist nicht abwegig zu behaupten das wohl auch Mobilfunkprovider und Zahlungsdienstleister zu den Informanten gehören könnten, denn Sie halten auch wertvolle Informationen bereit durch deren Zusammenführung man problemlos Bewegungsprofile etc. erstellen kann.

Eine interessanter Aspekt dürfte in dieser Hinsicht auch sein, wie man mit den passenden Helfern grundlegende Sicherheitsschichten des Internet ganz einfach aushebeln kann. Ich spiele hiermit natürlich auf das System der SSL Verschlüsselung an. Denn dieses System baut darauf auf das man den Ausstellern der Root Zertifikate in Browsern etc. vertrauen kann und zwar insofern das Sie keine falschen Zertifikate für wichtige Domains ausgeben und so Man-in-the-Middle Attacken möglich machen. Aber wie soll ich einer Firma vertrauen die Ihren Sitz in den USA hat und vielleicht direkt mit den Geheimdiensten kooperiert oder vielleicht von jenen gehackt wurde? Das diese Gefahr real ist hat sich im letzten Jahr nur zu of gezeigt, wie hier nachzulesen ist.

Und nun stehen wir hier als Bürger und rufen nach unserer verloren gegangenen Privatsphäre, die wir alle so schätzen, für die wir im Endeffekt aber auch recht wenig tun. Denn seien wir ganz ehrlich, wir machen es der NSA und dem BND doch auch ziemlich einfach, oder?

An einigen stellen können wir nicht dafür. Das meine Daten zum Department of Homeland Security wandern wenn ich in die USA fliegen möchte kann ich nicht verhindern, da es die EU nicht geschafft hat sich in diesem Punkt gegen die USA durchzusetzen. Übrigens die Daten von US Bürgern fließen nicht im gleichen Maß über den Atlantik zurück, schon irgendwie witzig.

Auch das die USA durch das Swift- Abkommen auf meine Überweisungsdaten zugreifen kann ich nicht verhindern, aber davon bekomme ich ja auch nichts mit. Dann kann das ja nicht so schlimm sein.

An anderen Stellen kann man es unseren lieben Freunden der spionierenden Zunft jedoch schon schwerer machen, bloss kaum jemand macht von der Möglichkeit gebrauch. Eine relativ schwache Grundlage um sich später über mangelnde Privatsphäre oder Datenschutz zu beschweren. Man muss sich halt von der naiven Vorstellung frei machen das man es bei Staaten und Konzernen mit lauter Gutmenschen mit harten moralischen Grundsätzen zu den hat. Diese werden bei den meisten Konzernen über Bord geworfen wenn es um Geld geht, und bei den meisten Staaten dem „Kampf gegen den Terrorismus“ geopfert.

Es ist also falsch sich in Sachen Datenschutz auf andere zu verlassen, wie es die meisten von uns gerne tun. Schützen kann man seine Privatsphäre nur selbst, und damit meine ich nicht die Aufrufe auf Facebook die es diesem Unternehmen verbieten sollen die geposteten Daten zu nutzen (an alle die die so etwas weiter geleitet haben: Lest euch mal die Facebook AGB durch).

Die oberste Regel lautet hier natürlich: Was nicht im Internet auftaucht kann auch nicht abgefangen werden! Darauf folgt auch gleichzeitig die alte Binsenweisheit: „Das Internet vergisst nicht!“ Also wenn es nicht absolut nötig ist das Photo welches euch in unvorteilhafter Pose zeigt bei Facebook etc. zu posten dann lasst es doch bitte einfach.

Natürlich ist es nicht immer möglich bzw. gewünscht die Herausgabe oder übertragung von Daten zu vermeiden. Schauen wir uns doch mal an wie wir trotzdem unsere Privatsphäre ein wenig besser schützen können:

Soziale Netzwerke

Der Begriff „Soziale Netzwerke“ ist heutzutage leider gleichzusetzen mit Facebook. Das kann einem gefallen oder nicht. Google+ ist eine Geisterstadt und vom „Datensammelfaktor“ kein bisschen besser. Facebook lebt davon unsere persönlichen Daten zu sammeln, welche wir Ihnen freiwillig zur Verfügung stellen (denn niemand ist gezwungen sich bei Facebook anzumelden oder dort etwas zu posten). Kann man sich vor Missbrauch der eigenen Daten dort schützen? Eigentlich garnicht. In seinen Richtlinien behält sich Facebook nämlich das Recht vor persönliche Daten ,unter bestimmten Umständen, für sich zu nutzen, z.B. wenn man vorher darüber informiert wurde oder wenn alle „personenbezogenen“ Daten vorher entfernt wurden. Natürlich gelten diese Richtlinien nicht wenn der Geheimdienst Zugriff auf Facebooks Server hat. Sie können aus dem vollen schöpfen. Deutsche Datenschutzbestimmungen sind schwer durchzusetzen da Facebooks Server teilweise in den USA stehen und man nicht ohne weiteres nachvollziehen kann wo die eigenen Daten gespeichert sind.

Wenn wir uns also nicht auf Facebook schützen können was können wir dann tun? Es gibt freie Alternativen zu Facebook die darauf abzielen die eigenen persönlichen Daten besser unter Kontrolle halten zu können, hier seien die Projekte Diaspora, Libertree und Friendica zu nennen. Da Problem dabei ist die im vergleich zu Facebook relativ geringe Verbreitung dieser Projekte und damit die meist sehr geringe Reichweite im eigenen Freundeskreis. Aber es zeigt: Es gibt alternativen, aber kaum jemand nutzt Sie.

E-Mail

Das wohl am meisten überwachte Medium überhaupt ist die E-Mail. Das liegt vor allem an der extrem starken Verbreitung sowie daran das es extrem einfach ist E-Mails abzufangen. Die E-Mail wird nicht umsonst immer wieder als elektronische Postkarte statt als Brief bezeichnet. Während der Weg vom lokalen Client zum eigenen Mail Server meist noch via SSL/TLS (die Nachteile dieser verfahren wurden bereits beschrieben) „abgesichert“ sind, ist die E-Mail auf Ihrem Weg durch das WWW zum Mailserver des Empfängers teilweise komplett ungesichert unterwegs. Sitz man an der richtigen Stelle um die Mail abzufangen, dann kann man Sie auch ohne Probleme lesen oder sogar verändern ohne das Sender und Empfänger etwas davon mitbekommen. Genau aus diesem Grund sind normale E-Mails in Deutschland auch nicht rechtsverbindlich, da eine normale E-Mail weder den Sender eindeutig identifiziert, noch Ihre Authentizität bestätigt werden kann.

Wen wundert es, für dieses Problem gab es auch schon eine Lösung, lange vor DE-Mail und ePostbrief. Für jeden kostenlos und nutzbar. Und wieder einmal macht davon kaum jemand gebrauch. Hierbei gibt es zwei Verfahren. Einmal S/Mime welches auf Zertifikate von Zertifizierungsstellen wie bei SSL setzt (und damit auch die gleichen Probleme teilt) und einmal OpenPGP. Meiner Meinung nach ist OpenPGP bzw. der GNU Privacy Guard die richtige Alternative zum signieren und verschlüsseln von Nachrichten da das beglaubigen der Schlüssel nicht ausschließlich einer gewinnorientierten Organisation vorbehalten ist. Des weiteren wurde das System unter der Bezeichnung GNU Privacy Projekt vom deutschen Staat mit Steuergeldern gefördert. Da bekommt man schon mal was für seine Steuern und keiner nutzt es.

Instant Messenger / VOIP

Was früher ICQ war ist heute der Facebook Chat bzw. Whatsapp. Bei ICQ ist es schon lange möglich (den richtigen Client vorrausgesetzt Mac-> Adium, PC-> Pidgin, Android-> Gibberbot, iOS-> Chatsecure) die Gespräche mittels OTR zu schützen. Gleiches gilt auch für den Facebook Chat bzw. Messenger wenn man darauf verzichten kann die Nachrichten im Browser zu lesen. Der Facebook Messenger baut seine Verbindung schließlich auch nur über das Jabber Protokoll auf. Whatsapp kann ich niemandem empfehlen. Nicht nur das man nicht weiss wie genau es die Macher mit dem Datenschutz nehmen, des weiteren fiel die Software im letzten Jahr eher durch massenhafte schwere Sicherheitslücken und die darauf folgende wortkargheit ihrer Macher auf. Als Alternative zu Whatsapp kann man am ehesten noch die Software Threema empfehlen, auch wenn ich zu dieser noch keine wirklich aussagekräftige Studie gefunden habe und dieses Programm nicht Open Source ist (wobei Open Source auch nicht immer mit Sicherheit gleichzusetzen ist).

iMessage von Apple soll so stark verschlüsselt sein das Ermittlungsbehörden nur mit Hilfe von Apple darauf zugreifen können. Aber scheinbar hat Apple eine Methode dafür. Die Verschlüsselung in iMessage dient also eher dazu die ungewollte Informationspreisgabe in unsicheren Netzwerken vorzubeugen als die Privatsphäre der Nutzer zu schützen.

Bei Video Chats bzw. Voip ist der inzwischen zu Microsoft gehörende Dienst Skype wohl das maß der Dinge was die Verbreitung angeht. Die Tatsache das immer wieder über eine Abhörschnittstelle gemutmaßt wird, bzw. Microsoft in Skype Chats gepostete https links besucht dürfte dem ein oder anderen doch ein seltsames Gefühl bereiten. Ein in dieser Hinsicht interessantes Projekt dürfte Palava.tv sein. Diese Website baut Videochats über den noch relativ jungen WebRTC Standard auf, bei dem die Video und Audio Daten verschlüsselt zwischen den jeweiligen Browsern ausgetauscht werden sollen. Der Server wird nur für die vermittlung genutzt. Mit etwas Glück wird dieses Projekt auch mal Open Source so das man eigene Server aufsetzen kann. Übrigens, bevor die Skype Fan’s anfangen zu schreien, ich weiss das der Vergleich hinkt, da man mit Skype auch ins Festnetz telefonieren kann etc.

Cloud Speicher

Ein boomender Markt der letzten Jahre ist die sogenannte Cloud. Ein sehr schwammiger Begriff für die Möglichkeit sehr einfach Dateien, Kontakte, Termine etc. auf Servern weltweit abzulegen und mit verschiedensten Endgeräten darauf zuzugreifen. Was vor einigen Jahren der USB Stick oder die Ordnerfreigabe zuhause war ist heute die Cloud. Und auch dort werden unter Umständen wertvolle Informationen gehosted. Teilweise weitab von deutschen Datenschutzbestimmungen, im Falle von Dropbox (meiner Meinung nach dem Marktführer) auch in den USA. Marktführer ist Dropbox auch deshalb weil Sie für wirklich so ziemlich jedes Endgerät den passenden Sync Client bzw. die passende App haben. Das können andere Anbieter nicht von sich behaupten.

Was kann man in Sachen Cloudstorage nun machen um die eigenen Daten vernünftig zu schützen? Eine Möglichkeit wäre erst einmal zu einem Anbieter zu gehen der seine Server in Deutschland stehen hat und somit unter die deutschen Datenschutzbestimmungen fällt. Das Problem dabei ist eigentlich das kein anderer Anbieter in Sachen Sync Client so gut da steht wie Dropbox. Möchte man Dropbox also weiter benutzen sollte man seine Daten verschlüsseln. Das hört sich erst einmal nach viel Arbeit an das muss es aber nicht sein da es Boxcryptor gibt. Die Classic Variante die auf EncFS aufsetzt und auch für iOS und Android erhältlich ist, ist für Privatanwender kostenlos. Da das Programm die Daten dateiweise verschlüsselt ist es perfekt für Cloud Storage Angebote geeignet.

Wer sich daran stört das Boxcryptor nicht Open Source ist der kann auch Truecrypt verwenden. Meiner Meinung nach ist es nicht so komfortabel wie Boxcryptor und da es einen Container erstellt und die daten nicht dateiweise verschlüsselt auch nicht so gut für den Einsatz in der Cloud geeignet. Aber es funktioniert meistens sehr gut. Ausserdem gibt es Disk Decipher auch eine Implementierung für iOS ebenso wie für Android in Form des Programmes EDS Lite.

Eine andere Möglichkeit ist noch die Daten auf einem Server zu lagern der unter der eigenen Kontrolle steht. Darauf kann man dann z.B. Owncloud nutzen und so einen eigenen Cloud Server aufsetzen. Noch anders funktioniert das Programm Bittorrent Sync welches komplett ohne Server auskommt, aber leider zur Zeit noch keine Clients für iOS oder Android bietet.

WWW

Auch beim normalen surfen im WWW hinterlässt man lauter kleine spuren z.B. in Form von Cookies oder in den Logeinträgen von Webservern. Woher weiss Amazon zum Beispiel sonst das ich zur Zeit ein neues Objektiv für meine Kamera suche und schlägt mir genau das  Objektiv vor das ich vor einigen tagen auf einer Preissuchmaschine gesucht habe.

Mithilfe dieser Informationshäppchen lässt sich natürlich auch ein schöne virtuelles Bewegungsprofil erstellen, wenn man Zugang zu den richtigen Daten hat.

Sich davor zu schützen ist jedoch nicht trivial und ist dazu noch mit einigen Komforteinbußen verbunden, so das man es wohl nicht konsequent durchziehen kann oder möchte. Eine Möglichkeit sich Zeitweise ziemlich anonym im Netz zu bewegen ist der Einsatz eines Darknets  wie z.B. TOR oder I2P welches es einem erlaubt die eigene IP Adresse zu verschleiern. Leider leidet durch die Topologie eines solchen Netzwerks und die zahlreichen Umleitungen die die eigenen Pakete nehmen müssen auch die Geschwindigkeit. Ausserdem sei auch darauf hingewiesen das die falsche Konfiguration des Browsers oder dessen Plugins die ganze Anonymität wieder zunichte machen kann. Des weiteren kann man z.B. TOR nicht auf jedem beliebigen Gerät laufen lassen.

Eine sehr komfortable Möglichkeit den eigenen Internetverkehr zu anonymisieren habe ich bei Adafruit gefunden und zwar in Form des Onion-Pi Projektes. Hier wird der Raspberry Pi Computer unter Einsatz einer angepassten Linux Version zu einem separaten Wifi Access Point im eigenen Netzwerk der den Netzverkehr alle Geräte die an Ihm angemeldet sind automatisch mittels TOR anonymisiert. Ein tolle Idee die ich vielleicht auch nachbauen werde.

Mein Fazit:

Der Prism Skandal ist ohne Frage eine große Sache, aber seien wir ganz ehrlich, die Befürchtungen das Big Brother uns im Internet über die Schulter schaut hatten wir schon lange. Nun ist es raus und es ist scheinbar schlimmer als befürchtet.

Für mich hat sich durch diesen Skandal nur gezeigt das auch im Jahr 2013 (und vielleicht noch viel mehr als früher) der alte Akte X Leitspruch „Trust no one“ noch immer seine Gültigkeit hat. Wenn einem die eigene Privatsphäre am Herzen liegt dann sollte man sich nunmal nicht auf Staaten und Großkonzerne verlassen, sondern selber aktiv werden.

Vielleicht habe ich jemanden mit diesem Beitrag zeigen können das es durchaus Mittel und Wege gibt die eigenen Informationen im Netz zu schützen, und vielleicht macht davon auch mal jemand gebraucht. Es würde mich auf jeden Fall freuen.

Ich werde in Zukunft wohl auch mein Verhalten anpassen und versuchen Freunde und bekannte besser über Maßnahmen wie z.B. E-Mail Verschlüsselung zu informieren. Vielleicht hat ja sogar jemand noch weiter gehende Vorschläge. Hinterlasst doch einfach nen Comment, damit man über so etwas diskutieren kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.