Programmier das Hauptquartier
Überwachung Nicht individuelle Verantwortung schützt, sondern kollektive Praxis für eine neue Allgemeinbildung
Von Susanne Lang
Hilfe, der Staat liest mit! Müssen wir, um uns vor Überwachung zu schützen, nun alle zu Computerfreaks und VerschlüsselungsexpertInnen werden? Das kann's ja wohl nicht sein. Aber was hilft dann? Anders gefragt: Was haben das Verschlüsselungsprogramm PGP, lange Waldspaziergänge, Antifaaktionen und Fahrradfahren miteinander zu tun?
Zunächst ein kurzer Blick zurück: Die Veröffentlichungen der von Edward Snowden an die Öffentlichkeit gebrachten Informationen machen ein Ausmaß von Geheimdienstaktivitäten sichtbar, das über eine umfassende Überwachung hinausgeht. Ein großer Teil der weltweiten Email- und Telefonkommunikation, aber auch Surfverhalten und andere Onlineaktivitäten werden aufgezeichnet und analysiert. Das zeigen die Dokumente des ehemaligen freien technischen Mitarbeiters der US-Geheimdienste CIA und NSA. Der NSA und das britische Pendant GHCQ gehen zudem gegen alle diejenigen vor , durch die sie sich infrage gestellt sehen.
Diese Geheimdienstaktivitäten lassen sich einerseits als Sabotageakte bezeichnen. Ganz gezielt wurden beispielsweise einige Bestandteile von Verschlüsselungstechnologien mit einer Hintertür versehen, wie etwa einer der Zufallszahlengeneratoren, die einigen Verschlüsselungen zugrunde liegen. Dieser Generator wurde zusätzlich auf Bemühungen der NSA zu einem der Standardverfahren erklärt, auf dem in der Folge einige Verschlüsselungsprogramme basierten.
Schwindende Glaubwürdigkeit von Verschlüsselung
Der Schock in Sicherheitskreisen und der -industrie ist groß. Schließlich wird sie an ihrem empfindlichsten Punkt getroffen: der Glaubwürdigkeit. Vermutlich ist der reale und konkrete Schaden für Verschlüsselung nicht so groß, denn die als sehr sicher geltenden Verfahren und Algorithmen sind nicht betroffen. So machte die Kunde des Sicherheitsforschers Bruce Schneier »Trust the math!« (Vertraue der Mathematik!) schnell die Runde. (1) Aber der Fakt, dass die NSA eine Verschlüsselungstechnologie »geknackt« hat, führte zu großen Verunsicherungen in und außerhalb der Sicherheitsindustrie - vor allem aber bei den »normalen« UserInnen, die diese Diskussion überhaupt nicht einordnen können. Schnell stand die Frage im Raum, was überhaupt noch sicher ist. (2)
Neben derartigen Sabotageakten sind andererseits gezielte Angriffe der Geheimdienste ans Tageslicht gekommen, die teilweise weniger überraschend waren. So wurde bereits 2010 öffentlich, dass die unter dem Namen »Stuxnet« bekannt gewordene Schadsoftware gezielt das iranische Atomprogramm angriff. Die Art des Angriffs legte die Vermutung nahe, dass der US-Geheimdienst zumindest einer der Auftraggeber war. Durch Snowden wissen wir heute, dass diese Vermutung richtig war - die NSA war nicht nur Auftraggeber, sondern sogar Ingenieur des Angriffs.
Die große Überraschung der Snowden-Leaks war viel eher das Ausmaß derartiger Angriffe. Nicht nur Stuxnet, sondern Tausende solcher Angriffe gehen auf das Konto der Geheimdienste. Erschreckend ist auch, wie breit die Angriffsziele angelegt sind: Neben iranischen Atomprogrammen und angeblichen TerroristInnen werden auch AktivistInnen, einzelne JournalistInnen oder gleich ganze Zeitungsredaktionen und auch einfach UserInnen von der NSA gezielt mit Trojanern infiziert und ausgespäht. Schon allein die Tatsache, Verschlüsselung im Alltag zu benutzen, macht Menschen für die NSA verdächtig. Wer sich angesichts dieses Ausmaßes an Überwachung und Repression in Sicherheit wiegt und sich einredet, dass die eigenen Internetaktivitäten und das Surfverhalten zu unwichtig für solch einen übermächtigen Feind sind, der irrt.
Strömungsfilme zur politischen Großwetterlage
Einzelne UserInnen sind zwar nicht unbedingt einer konkreten Strafverfolgung ausgesetzt. Aber in erster Linie geht es den Geheimdiensten auch nicht darum, sondern vielmehr um eine Prognose. Aus dem Gesamtbild aller Einzelaktivitäten, die zusammengenommen eine solide Datenbasis abgeben, lässt sich - mit einem Wetterbericht vergleichbar - ziemlich genau die politische »Wetterlage« ablesen.
Im Unterschied zu einem Wetterbericht will die NSA jedoch nicht einen Regenschirm für das nächste Occupygewitter zur Hand haben, sondern dieses »Gewitter« verhindern oder zumindest stören. Die NSA übersetzt damit eine Strategie in den digitalen Raum, die George W. Bush im Jahr 2008 ausrief: die National Security Strategie des Präventivangriffs (»preemptive strike«) gegen potenzielle, angebliche Feinde.
Dramatisch ist, dass das, was jetzt bekannt geworden ist, erst der Anfang ist. Die technischen Voraussetzungen für die umfassende Überwachung und Repression haben erst in den letzten Jahren einen Reifegrad erreicht, der eine solche Strategie realisierbar macht. Das Utah Data Center beispielsweise, die sogenannte NSA-Cloud, die mit ihrer riesigen Speicherkapazität enorme Datenmengen zur weltweiten Überwachung des Internets erfassen und bearbeiten kann, ist noch nicht einmal fertig gebaut. Die Eröffnung war für September 2013 geplant, hat sich aber aufgrund technischer Probleme verzögert.
Anfang einer neuen Ära der Überwachung
Die Geheimdienste haben zudem noch nicht Zugang zu allen Glasfaserkabeln. Videodrohnen, die sich für eine flächendeckende, flexible Videoüberwachung eignen, sind erst in den letzten Jahren konstruiert worden. Eine umfassende und synchronisierte Video- und vermutlich Audioüberwachung aller deutschen Bahnhöfe ist von Innenminister Hans-Peter Friedrich gerade erst als Projektvorhaben verkündet worden. Auch die EU-weite ecall-Richtlinie, die als automatisches Notrufsystem eine ständige Verfolg- und Kontrollierbarkeit für alle Autos vorsieht, wird erst ab Oktober 2015 für alle dann neu registrierten Fahrzeuge verpflichtend. Wir stehen also erst am Anfang einer Ära, in der eine neue Dimension von Überwachung und Repression in unseren Alltag Einzug hält.
Der skizzierten Überwachung und Repression lässt sich jedoch weder nur technisch noch allein politisch etwas entgegensetzen. Denn wir haben es nicht mit einem lösbaren Problem zu tun, sondern mit einer gesellschaftlichen Realität, in der wir uns re-organisieren müssen. Teil dieser gesellschaftlichen Realität sind aber auch eine ganze Menge Ansatzpunkte, Erfahrungen und Ressourcen, die diese Gesellschaft ebenso mitgestalten und den Lauf der Dinge weiterhin beeinflussen werden.
Die Entstehung und Entwicklung von dem, was wir heute als Internet kennen, war von Anfang an ein umkämpfter Raum. (3) Denjenigen, deren Fantasien von Überwachung, Kontrolle und Effektivierung durch neue Technologien befeuert wurden, standen diejenigen gegenüber, die mit dem Internet die Möglichkeit einer freieren und besseren Welt verbanden. Eine Welt, in der alle Zugang zum Internet haben (Netz für alle!), in der alle Menschen direkt miteinander in Austausch treten können, unabhängig von Regierungen, in der Ressourcen geteilt werden können und viele Hierarchien überflüssig werden.
Das Internet, das wir heute kennen, beinhaltet viele dieser Visionen, denn all die ProgrammiererInnen, WebentwicklerInnen, ForscherInnen und UserInnen haben sie in Codes, Protokolle und Standards übersetzt und dem Internet mit eingeschrieben. Dazu gehört Open-Source-Software und die Idee von verteilten Systemen ebenso wie das Prinzip der Datensparsamkeit, das davon ausgeht, dass so wenig wie möglich Daten gesammelt werden sollten.
Open Source Software ist überprüfbar
Open Source Software ist überprüfbar und damit kaum heimlich manipulierbar. Sie kann weiterentwickelt und verschiedensten Bedürfnissen angepasst werden. Sie ist zusätzlich kostenlos und damit potenziell zugänglich für alle. Richard Stallman, Gründer des GNU-Projekts, das die Grundlage für Open-Source-Betriebssysteme war, fasst die aktuelle Situation treffend zusammen, indem er sagt: »Freie Software ist jetzt wichtiger als je zuvor«, denn wenn sich Geheimdienste und Regierungen nicht mehr an die Gesetze halten, dann könne man nur noch Software trauen, die von Dritten überprüft werden kann. (4) Auf dieser Grundlage können wir heute sagen, dass das Email-Verschlüsselungsprogramm PGP nach wie vor eine sichere Technik ist, um den Inhalt einer Email zu schützen.
Verteilte Systeme
Die Idee von verteilten Systemen ist in vielen Technologien umgesetzt und eigentlich ganz einfach. Wenn es möglich ist, Rechenleistung, Daten etc. nicht mehr an einem Ort zu zentralisieren, dann sind Lasten und Kosten breit verteilt und das Ausfallrisiko geringer. Denn wenn nicht ein zentraler Server für eine bestimmte Leistung zuständig ist, dann bricht nicht das ganze System zusammen, wenn der zentrale Server ausfällt, abgeschaltet oder kompromittiert wird. Auf dieser Idee basiert Software wie Tor, die anonymes Surfen im Internet ermöglicht.
Diese Idee ist nicht an Software gebunden - auch die gesamte Internetinfrastruktur lässt sich in diese Logik übersetzen. Das ist eine der Ideen der freifunk-Bewegung, die drahtlose Nachbarschaftsnetzwerke aufbaut und in Berlin in diesen Tagen ihr zehnjähriges Bestehen feiert. (Siehe Seite 28) Der freifunk-Aktivist Dan Staples erklärte im Oktober 2013 beim International Summit for Community Wireless Networks (IS4CWN) in Berlin: »Eine lokale und dezentrale Infrastruktur macht die Überwachung viel kostspieliger.« Er schlägt vor, lokale drahtlose Netze weiterzuentwickeln und für eine gruppeninterne Kommunikation, wie beispielsweise in einer Nachbarschaft, mehr zu nutzen. (5)
Aber auch das Internet selbst muss vergesellschaftet werden. Einen ersten Schritt in diese Richtung wagt die Initiative der Netzgenossenschaft, die sich in Reaktion auf die von der Telekom angekündigte Praxis von Drosselungen der Bandbreite im Sommer dieses Jahres gegründet hat. Ziel ist, der unerträglichen Situation, immer nur zwischen schlechten Providern wählen zu können, einen alternativen Provider entgegenzustellen, bei dem alle NutzerInnen in einer Genossenschaft mitbestimmen können. (Siehe Seite 28)
Datensparsamkeit bzw. Datenvermeidung ist ein zentrales Konzept des Datenschutzes und besagt, dass bei der Datenverarbeitung nur so viele Daten erfasst und gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind. Viele mögen denken, dass in Zeiten von Facebook & Co. die Idee von Datensparsamkeit abhandengekommen wäre. Dem ist aber nicht so. Nach wie vor ist dieses Prinzip Bestandteil guter Software, guter Serverpraxis, guter Providerpraxis. Das Einzige, was sich durch Facebook in Bezug auf Datensparsamkeit verändert hat, sind die UserInnen selbst.
Datensparsamkeit als Konzept des Datenschutzes
Die angeführten Ansatzpunkte und Ressourcen lassen sich weiterführen und sollten gemeinsam weiterentwickelt werden. Wir müssen überlegen, evaluieren, prüfen und diskutieren, welche der Ansätze für einen Umgang mit der bekannt gewordenen Überwachung und Repression hilfreich und anwendbar sind, welche wir wie unterstützen und weiterentwickeln können.
Um diese Diskussion gemeinsam führen zu können, müssen wir ein gemeinsames Wissen über diese Technologien und Techniken, Prinzipien und Logiken der Systeme entwickeln - es ist ein größeres Allgemeinwissen notwendig. Denn Sicherheit basiert immer auf delegiertem Vertrauen. Es gibt immer Punkte, an denen ExpertInnen in der Frage vertraut werden muss, ob irgendetwas wirklich »sicher« ist. Wenn der Erfinder der PGP-Technologie, Phil Zimmermann, sagt, dass PGP nach wie vor sicher ist, werde ich nie die Möglichkeit haben, sein Fachwissen zu überprüfen. Ich kann aber einschätzen, dass PGP eine Open Source Software ist und ich darum anderen ExpertInnen vertrauen kann, die seinen veröffentlichten Code überprüfen und seine Aussage bestätigen. Das stärkt mein Vertrauen.
Ab welchem Punkt ich mein Vertrauen delegiere, macht einen wesentlichen Unterschied in der daraus resultierenden Sicherheit. Wenn ich mich mit der Funktionsweise von Email nicht auseinandersetze und keine Idee davon habe, wie PGP funktioniert, dann wird auch die aus der PGP-Verschlüsselung resultierende Sicherheit immer sehr fehleranfällig und misstrauensanfällig sein.
Die Notwendigkeit, dieses Sicherheitsprinzip zu verstehen, ist aus der analogen Welt altbekannt: Anna sagt mir, wir könnten in einem bestimmten Wald spazieren gehen, um dort ein vertrauliches Gespräch zu führen, das nicht abgehört werden kann und soll. Wenn ich mit dieser Sicherheitspraxis vertraut bin, dann weiß ich Annas Expertise an diesem Punkt einzuordnen. Ich weiß, dass ich kein Mobiltelefon mit in den Wald bringen darf. Ich weiß, dass damit meine Zugangs- und Abgangswege nicht automatisch auch sicher sind, und vermutlich hat Anna den Wald nicht nach herumliegenden Mobiltelefonen oder anderen Geräten abgesucht - ein Restrisiko bleibt also weiterhin bestehen. Dieses Risiko tragen wir in unserer Kommunikation gemeinsam, wir haben uns gemeinsam für den Spaziergang im Wald entschieden.
Grundlegende Prinzipien von Sicherheit im Alltag
Die durch Snowden an die Öffentlichkeit geratenen Dokumente zeigen deutlich, dass auch die NSA UserInnen als das schwächste Glied in der Kette der verschlüsselten Kommunikation identifiziert hat. Kaum jemand schafft es, sich effektiv vor Schadsoftware zu schützen, und so konzentriert sich die NSA darauf, Zielobjekte mit Überwachungs- und Schadsoftware zu infizieren oder Keylogger zu installieren, eine Software, die die Tastatureingaben mitprotokolliert. Es sind zwar gute Nachrichten, dass OTR, ein Protokoll zur Chat-Verschlüsselung, PGP und Tor nach wie vor sicher sind. Das nützt aber niemandem, wenn die Nachricht vor dem Verschlüsseln oder nach dem Entschlüsseln vom Geheimdienst abgefangen wird. Es werden vor allem altbekannte Sicherheitslücken ausgenutzt - wer seinen Computer nicht ständig aktualisiert, ist klar im Nachteil.
Die nötige Allgemeinbildung, um unsere digitale Kommunikation neu zu organisieren, besser abzusichern und selbst zu bestimmen, lässt sich allerdings nicht durch die Anrufung der UserInnen herstellen, sich mehr und schneller zu informieren. UserInnen sind bereits jetzt hoffnungslos überfordert. Denn mit den neuen Technologien verdichtete sich für viele auch das Arbeits- und Privatleben durch die ständige Verfügbarkeit und permanente Kommunikation und durch damit einhergehende Anforderungen lebenslangen Lernens. In der Folge nutzen die meisten UserInnen ihre Smartphones und Computer genau so, wie es von den Internetriesen Apple, Google, Microsoft und anderen vorgesehen ist. Sie sind heilfroh, wenn es keine unvorhergesehnen Störungen gibt, zu denen unter anderem auch Softwareaktualisierungen zählen.
Dabei wäre das alles gar nicht so schwer. Schließlich ist die Nutzung von Facebook viel komplizierter als die Nutzung von PGP, das Bedienen der iPhone-Tastatur und der nicht-intuitiven Autofillfunktion beim Eingeben von Texten braucht wesentlich mehr Übung als die Nutzung eines Torbrowsers. Aber die Masse der NutzerInnen hat sich das Eine statt das Andere angeeignet. Dieser Widerspruch lässt sich ganz brachial mit kapitalistischer Logik erklären - wir verhalten uns nicht etwa so, weil wir verblendete unreflektierte Wesen sind, sondern weil unser Kommunikationsbedürfnis erfolgreich aufgegriffen, kommodifiziert und in eine Praxis überführt wurde, bei der wir ständig ein Statusupdate irgendwo eintippen wollen, statt vertraulich zu kommunizieren.
Es gibt aber noch einen zweiten Aspekt. Dadurch, dass alle unserer FreundInnen Facebook nutzen, gibt es den sozialen Druck und den sozialen Anreiz, sich diese Technik anzueignen. Es gibt auch ständig verfügbare Hilfestellungen, weil ich immer jemanden aus meinem Bekanntenkreis fragen kann, wie ich was bei Facebook machen kann. Und unsere Alltagskommunikation ist geprägt von einem Austausch über die interessantesten Apps, Links, Likes etc.
Selbstbestimmte Kommunikation
In einer Gruppe lässt sich jede Technik leicht aneignen. Wer viel Zeit bei Facebook verbringt, entwickelt dort eine Praxis und Übung. Was ich regelmässig nutze, wird schnell zur Routine und ist nicht mehr anstrengend. Auf der gleichen Basis lernten wir Fahrrad- und Autofahren. Wenn ich aber nur zwei FreundInnen habe, die mir einmal in sechs Monaten PGP-verschlüsselte Emails schreiben, dann kann sich auch keine Routine einstellen.
Der Aufruf zur digitalen Selbstverteidigung lässt sich nur gemeinsam und nicht individuell beantworten. So wie wir nicht gegen Nazis gewinnen können, wenn wir unsere Strategien darauf aufbauen, dass jedeR AntifaaktivistIn sich auf dem Niveau eines Kampfsportmeisters verteidigen können muss, so müssen wir auch hier Strategien finden, die für alle umsetzbar sind. So wie wir von AntifaaktivistInnen erwarten, dass sie auf sich achtgeben und sich damit auseinandersetzen, so braucht auch unsere digitale Kommunikation eine gewisse Aufmerksamkeit.
Auch wenn es kein Deckchensticken wird: Die Softwarenutzung darf keine individuelle Anforderung bleiben, aber auch nicht leichtsinnig abgelehnt werden, weil sie vermeintlich zu voraussetzungsvoll ist. Verschlüsselung ist notwendig und im Alltag einübbar. Wir müssen Wege finden, wie wir das ermöglichen und uns darüber hinaus eine Allgemeinbildung erarbeiten, mit der wir unsere Kommunikation gemeinsam selbst bestimmen lernen.
Susanne Lang schreibt in ak über gewerkschaftliche und netzpolitische Themen.
Anmerkungen:
1) »Vertraue der Mathematik. Verschlüsselung ist dein Freund. Benutze sie sorgfältig und gib dein Bestes, um sicherzustellen, dass sie nicht kompromittiert wird. So können wir sicher bleiben, sogar wenn wir mit der NSA konfrontiert sind.« Bruce Schneier: NSA surveillance: A guide to staying secure, theguardian.com, 5.9.2013.
2) Hanno Böck: Was noch sicher ist, golem.de, 9.9.2013.
3) Andreas Schmidt: Das Internet ist ein vermachteter Raum. Leitbilder, Infrastruktur und die Institutionen einer politischen Technologie. In: ak 558, 18.2.2011.
4) wired.com, 28.9.2013.
5) 2013.wirelesssummit.org.
Skandale vor den NSA-Enthüllungen
Echelon ist ein Spionagenetz, das zur Überwachung der satellitengestützten Kommunikation (Telefon, Fax und Internet) dient. Trotz strengster Geheimhaltung konnte die Existenz des Echelonsystems durch eine Untersuchung des Europäischen Parlaments im Jahr 2001 nachgewiesen werden.
Der US-PATRIOT-Act sieht seit Oktober 2001 massive Einschränkungen der Bürgerrechte in den USA vor. Dazu gehören unter anderem die Aufhebung der richterlichen Kontrolle für Telefon- und Internetüberwachung sowie heimliche Hausdurchsuchungen.
Dem Chaos Computer Club gelang im Oktober 2011 die Analyse eines bundesdeutschen Staatstrojaners für Onlinedurchsuchungen, dem es nicht nur möglich war, »intime Daten auszuleiten«, sondern der »auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware« bot. Das war weit mehr als die expliziten Vorgaben des Verfassungsgerichtes erlaubten.
Die wichtigsten NSA-Überwachungsprogramme
Am 6. Juni 2013 begannen die Washington Post und der britische Guardian mit der Veröffentlichung von Geheiminformationen, die ihnen der ehemalige freie NSA-Mitarbeiter Edward Snowden zugespielt hatte. Nach und nach wurden die wichtigsten Überwachungsprogramme und -praktiken bekannt.
Tempora ist der Codename einer britischen Geheimdienstoperation des Government Communications Headquarters (GCHQ). Es existiert teilweise bereits seit 2009. Das Programm schöpft die Online- und Telefonkommunikation ab, die über die transatlantischen Glasfaserkabel auf dem britischen Territorium ankommen oder abgehen. Das zeigt: Vor allem in Zeiten des Internets ist die physische Kontrolle über die Netze relevant.
Das Programm Prism existiert seit 2007 und ermöglicht der NSA direkten Zugriff auf die Nutzerdaten von Microsoft, Yahoo, Google und Facebook. Inbegriffen sollen gespeicherte Suchanfragen, E-Mail-Inhalte, übertragene Dateien und Live-Chats sein. In Reaktion auf die Veröffentlichung der Informationen über dieses Programm durch den Guardian und die Washington Post am 6. Juni 2013 verteidigt Obama Prism, und die US-amerikanischen Firmen lehnen eine Kooperation ohne Gesetzesgrundlage ab.
Laut Unterlagen zu XKeyscore ist es ein »System zur Ausnutzung von Digital Network Intelligence«. Mit Hilfe von Metadaten und anderen Daten soll es möglich sein, einer einzelnen »Zielperson« Stichworte zuzuordnen. Dafür werden auch Chats und Emails ausgewertet. Es soll sogar eine temporäre, ungefilterte Sammlung aller für diese Person überhaupt anfallenden Daten in Echtzeit erstellbar sein. Die NSA-Analysten können hierfür auf Milliarden Daten zugreifen und diese 30 Tage speichern. Daten, die für weitere Analysen wichtig sind, können länger gespeichert werden. Der BND und der Verfassungsschutz sollen das Programm ebenfalls einsetzen oder zumindest testen.
Um auch verschlüsselt übertragene Daten mitlesen zu können, hat die NSA das Programm Bullrun, der britische Geheimdienst GCHQ das Programm Edgehill. Ziel ist das für sichere Verbindungen zu Web-Servern eingesetzte SSL, was in Webbrowsern als »https« angezeigt wird, aber auch verschlüsselte Tunnelverbindungen, sogenannte Virtual Private Networks (VPNs) und Internettelefonie.
Am 6. Oktober 2013 wurde durch das Nachrichtenmagazin Spiegel bekannt, dass der BND mehrere Provider am Datenknotenpunkt DE-CIX in Frankfurt seit zwei Jahren anzapft. Angeblich sollen sich die Spähangriffe gegen andere Länder richten, über die Leitungen läuft jedoch fast ausschließlich innerdeutscher Datenverkehr. Die rechtliche Grundlage schaffte die rot-grüne Koalition im Juni 2001.