Wir sind gut beraten, unser Verhalten anzupassen
Aktion Gespräch mit so36.net über Internetüberwachung und was man dagegen tun kann
Interview: Martin Beck
Yahoo-Mail-Adresse, Skype-Account und die Cloud bei Dropbox? Inzwischen wird vielen bei diesem Gedanken mulmig angesichts der Enthüllungen über die technischen Möglichkeiten der Geheimdienste, die wir Edward Showden zu verdanken haben. Doch es gibt Alternativen. Eine ist das Berliner Internetprojekt so36.net. Wir sprachen mit Christoph Kuchenbuch, der seit Jahren bei dem nichtkommerziellen Projekt mitarbeitet.
Kommen wir, wenn wir über die durch Edward Snowden bekannt gewordene Dimension der Überwachung reden, nicht unweigerlich recht schnell ins Reich der Spekulation?
Christoph Kuchenbuch: Grundsätzlich müssen Nutzer und Nutzerinnen digitaler Medien davon ausgehen, dass die von ihnen produzierten Daten, welcher Art auch immer, potenziell gefährdet sind, abgehört, mitgelesen bzw. ausgewertet zu werden. Das ist keine neue Erkenntnis. Edward Snowden ist es aber zu verdanken, dass das Thema - zumindest momentan - medial hohe Wellen schlägt. Insofern ist es eigentlich egal, im Detail zu wissen, welche E-Mails es an der NSA oder welchem Dienst auch immer vorbeigeschafft haben. Es geht um etwas anderes: Wir müssen die Gelegenheit nutzen, damit eine größere Zahl von Nutzern ihr Verhalten ändert und sensibler mit ihren eigenen und auch den Daten anderer umgeht.
Habt ihr aus den bekannt gewordenen Enthüllungen neue Einblicke in technische Details gewonnen?
Die technischen Möglichkeiten sind hinlänglich bekannt. Wenn man die Fachpresse und Produktportfolios der Netzhersteller ansieht, weiß man, dass es kein Problem mehr ist, den Internetverkehr eines gesamten Landes zu beobachten. Der Skandal ist die Dimension der Datenmengen, die gespeichert, überwacht und ausgewertet werden. Hinweise darauf wurden bisher als verschwörungstheoretisch abgetan, haben sich jetzt aber bestätigt. Aus unserer Sicht ist insbesondere das globale Ausmaß neu.
Wer Google, Yahoo, Dropbox oder Skype nutzt, muss damit rechnen, dass Sicherheitsbehörden direkten Zugriff auf seine Daten erhalten. Kann man dem entkommen?
Wir können sicher nicht verhindern, dass unsere Daten abgefangen und mitgelesen werden. Wir können aber eine ganze Menge tun, dies zu erschweren bzw. die Inhalte zu schützen. Darunter fällt natürlich insbesondere, US-Dienste wie Facebook, Dropbox, Google und Co. zu meiden. Allerdings beteiligen sich ja auch Hersteller von Software und Betriebssystemen an der Ausspähung. Das bedeutet potenziell, dass die Nutzung solcher Produkte mit dem vollständigen Verlust über die Kontrolle der eigenen Daten einhergeht. Quelloffene Programme und Betriebssysteme, also Open-Source-Lösungen, bieten an dieser Stelle schon deutlich mehr Sicherheit. Zum einen ist man nicht von bestimmten Herstellerfirmen abhängig, zum anderen - und vor allem - sind diese Programme überprüfbar.
Und was heißt das für die Nutzerinnen und Nutzer?
Die Verwendung von Linux ist sicher eine gute Alternative. Das Betriebssystem selbst, also der Kernel, ist quelloffen, und auch für fast alle gängigen Anwendungsgebiete - Text- und Bildbearbeitung, E-Mail-Clients, Browser, Chat, Video- und Musikplayer - liefern die verschiedenen Linux-Distributionen, wie etwa Ubuntu, quelloffene Programme. Und mittlerweile ist die Installation von Linux und Open-Source-Software oft einfacher und schneller als etwa bei den von Bill Gates vertriebenen Produkten.
Die eine Seite ist die staatliche Überwachung. Die andere die Datensammelwut privater Unternehmen im Internet. Wie kann man sich davor schützen?
Ob staatliche Überwachung oder kommerzielle Weiternutzung, in jedem Falle ist es angesagt, mit der Preisgabe von Daten sparsam umzugehen. Man muss sich klar machen, dass Daten, sind sie einmal digitalisiert und im Umlauf, nur sehr schwer wieder vernichtet werden können. Wir von so36.net empfehlen dringend die Nutzung von Anonymisierungs- und Verschlüsselungssoftware, insbesondere dann, wenn Daten den Weg über das Internet nehmen. Eine gute Möglichkeit, etwa die Inhalte von E-Mails zu schützen, ist die Verwendung von GnuPG/PGP. Die Benutzung des Tor-Netzwerks zur Anonymisierung von Metaverbindungsdaten, etwa für Webbrowsing, E-Mail oder auch Chat, die Verwendung sogenannter Anti-Tracking-Plugins für Browser, die verhindern, dass das Nutzerverhalten aufgezeichnet wird, die Wahl einer Suchmaschine, die keine oder wenige Metadaten aufzeichnet, all das ist geeignet, um digitale Spuren im Netz zu vermeiden oder zu verwischen.
Wenn es hart auf hart kommt: Welche Vorteile hat es, Dienste bei euch zu nutzen?
Im Fall der Ausspähung durch das NSA-Projekt Prism sind auch wir machtlos. Wir wissen nicht, was auch nur einen Meter hinter der Wand passiert, durch die das Kabel zu unserem System geht. Deshalb raten wir unseren Nutzern ja auch dringend, sich um die Sicherheit ihrer Daten in oben beschriebenem Sinne selbst zu kümmern.
Jetzt klingst du wie der Bundesinnenminister, der die Bürger dazu aufgerufen hat, selbst mehr für den Schutz ihrer Daten zu tun! Liegt das wirklich nur in der individuellen Verantwortung oder muss man nicht auch über kollektive Lösungen nachdenken?
Wir sehen uns als Teil eines kollektiven Prozesses und stellen Infrastruktur unter anderen Voraussetzungen zur Verfügung. Wir sind ein vollständig nichtkommerzielles Projekt und finanzieren uns ausschließlich über Spenden. Insofern sind wir von niemandem abhängig und niemandem verpflichtet, mit dem für unsere Nutzer schönen Nebeneffekt, dass unsere Dienste alle werbefrei liefern.
Werbefreiheit - okay, aber das kann nicht alles sein. Warum sollte ich euch als Infrastruktur nutzen?
Zum Beispiel weil nur wir allein Zugriff auf unser System haben. Wir wissen, was dort läuft, denn wir selbst haben die Systeme unter anderem mit besonderem Augenmerk auf Datensicherheit installiert. Dabei geht es etwa um die Verschlüsselung von Datenspeicher, aber auch um die Tatsache, dass wir unsere E-Mail-Dienste unseren Usern nur über verschlüsselte Protokolle zur Verfügung stellen oder verschlüsselte Maillinglisten anbieten.
Und wo stoßt ihr an Grenzen?
Sicherlich stoßen wir bei Sabotage, etwa durch DDoS-Attacken (1), bei Domainsperrungen oder auch Beschlagnahme an Grenzen. Daher ist es wichtig, das5s es viele Technikprojekte wie uns gibt und wir so für eine gewisse Redundanz sorgen, auch das ist Teil eines kollektiven Ansatzes.
Was meinst du damit?
Die Tech-Projekte sind weltweit eng vernetzt, und es gibt eine sehr ausgeprägte Solidarität bei technischen Problemen oder staatlicher Repression. Eine gewisse Gefahr sehen wir aber in dem Aspekt der Popularität oder Userakzeptanz. Es gibt einige Projekte, deren Ausfall die Szene nicht mehr ohne Weiteres schultern könnte. Ein Beispiel dafür wären unsere Freunde von riseup.net. Riseup ist ein großes und sehr bekanntes Projekt, das durch Förderung und Spenden sehr professionell arbeitet. Durch die Bekanntheit legen sich immer mehr Leute dort E-Mail-Adressen zu und es entsteht ein gewisser Cluster. Wir sollten aufpassen, dass wir in der Wahl unserer Dienste auf Vielfalt achten, insofern auch ein Tipp sich einfach mal umzuschauen, was es noch so für Projekte gibt.
Immer wieder ist zu lesen, dass man lieber auf Internetdienste zurückgreifen soll, die in Europa beheimatet sind ...
Weil es in Europa funktionierende Kontrollmechanismen gibt? Ich glaube, den Zahn hat man uns gerade gezogen. Wir sind gut beraten, unser Verhalten der Tatsache anzupassen, dass sämtliche Systeme, über die wir nicht die Kontrolle haben, als unsicher zu betrachten sind. Und im Zweifel sind es alle. Das soll jetzt nicht heißen, den Stecker zu ziehen, aber man muss eben einen sensiblen Umgang mit den Daten pflegen und sich der Mittel bedienen, die eine Überwachung zumindest erschweren.
Aber müsste man in der aktuellen Situation nicht nur eine technische Infrastruktur stellen, sondern zusammen mit anderen aktiv daran arbeiten, dass kollektive Lösungen und Alternativen entwickelt werden? Wie schafft man es zum Beispiel, dass die dezentral ausgelegte Facebook-Alternative Diaspora auch angenommen wird?
Diese Frage beschäftigt die Tech-Szene schon seit Jahren, und wir haben bisher keine Antwort gefunden. Damit Produkte wie Facebook, Googlemail, Skype oder Dropbox so wahnsinnig gut benutzbar werden, fließen Hunderte Personenjahre Arbeit in die Software, die anschließend vermeintlich kostenlos zu benutzen ist. Dem hat eine Szene, die nahezu ausschließlich aus ehrenamtlichen Entwicklern und Administratoren besteht, schlicht nichts entgegenzusetzen. Klar versuchen wir, besser zu werden, gerade eben erst haben wir unser Webmailsystem so umgestellt, dass es Googlemail sehr nahe kommt. Allerdings können wir immer noch nicht so viel Speicherplatz wie Google bieten.
Eventuell könnten Ansätze wie Crowdfunding oder staatliche Subventionen auch dazu dienen, alternative Systeme zu entwickeln. Dass diese Systeme aber ernsthaft mit »den Großen« konkurrieren können, wage ich auf absehbare Zeit zu bezweifeln.
Anmerkung:
1) Unter DDoS (Distributed Denial of Service = Verweigerung des Dienstes) versteht man einen Angriff auf einen Computer mit dem erklärten Ziel, seine Verfügbarkeit außer Kraft zu setzen.
So klappt's auch mit dem Internet
Wie kann man sich im Internet schützen und die Preisgabe von Daten vermeiden? Diese Frage treibt momentan viele um. Ein paar Tipps: Jede Suchanfrage, die man bei Google eingibt, wird anhand der IP-Adresse, mit der man mit dem Rechner im Internet unterwegs ist, gespeichert. Aber es gibt nicht nur Google. Viele andere Suchmaschinen gehen mit deinen Daten umsichtiger um, zum Beispiel startpage.com, duckduckgo.com oder tineye.com. Verschlüsselung schützt vor Spionage während des Besuchs auf einer Website. In Firefox oder Chrome sollte die Erweiterung HTTPS Everywhere installiert werden. So wird beim Surfen meist eine verschlüsselte Verbindung aufgebaut, erkennbar an dem Kürzel »https« in der URL. Viele Websites setzen Cookies bzw. Tracking-Cookies. Cookies merken sich persönliche Einstellungen für besuchte Websites. Sie werden allerdings auch dafür verwendet, Profile über das Surfverhalten eines Benutzers zu erstellen. Auf jeden Fall sollte eingestellt werden, dass Cookies »von Drittanbietern« nicht akzeptiert werden. Besser ist es, Programme wie DoNotTrackMe im Browser zu installieren. Es zeigt bei jeder Internetseite an, wer an einem interessiert ist, und blockiert die Erfassung in Datenbanken wie Google Analytics. Wer anonym im Netz surfen will, kann das Anonymisierungsnetzwerk Tor nutzen. Statt über Skype, Facebook oder WhatsApp zu chatten, sollte man auf Jabber umsteigen - ein Konto kann man bei systemli.org, so36.net und vielen anderen Anbietern bekommen. E-Mails ruft man besser nicht im Browser ab, sondern nutzt einen E-Mail-Client wie z.B. Thunderbird. Will man auch unterwegs auf seine Mails zugreifen, kann man Thunderbird Portable verwenden, das auf einem USB-Stick installiert wird. E-Mails sind vergleichbar mit Postkarten, die Inhalte werden offen übermittelt. Deshalb sollte man seine Mails mit GnuPG/PGP verschlüsseln. Entgegen landläufiger Meinung ist das weder schwer noch kompliziert. Im Netz sind viele brauchbare Anleitungen zu finden. Auf alle Fälle sollte man ein sicheres E-Mail-Postfach nutzen. Es gibt viele Alternativen zu Yahoo, Google oder GMX, etwa posteo.de oder so36.net. Auf der Seite von so36.net sind noch weitere Technikgruppen zu finden, an die man sich wenden kann, wenn man seine Mailadresse wechseln will oder einen Jabber-Account möchte. Was in den letzten Wochen deutlich geworden sein sollte: Der Schutz der Privatsphäre kollidiert mit der scheinbaren Kostenloskultur des Netzes. Die Projekte sind auf Spenden angewiesen. Dafür kann man ruhig ein paar Euros investieren.
Mehr Tipps unter: www.foebud.org/selbstverteidigung und https://prism-break.org/