 |
# taz.de -- Datenschutzfreundliche Provider: Sie wollen's nicht wissen |
|
|
|
> Der US-Amerikaner Nicholas Merrill träumt von einem Provider, der |
|
> maximalen Nutzerschutz gewährt. Das Projekt des Calyx Institute scheitert |
|
> vorerst am Geld. |
|
|
 |
Bild: Gemeinsam gegen den Überwachungsstaat – eine Illusion? |
|
|
|
BERLIN taz | Die Idee schwelt schon lange in ihm. Seit acht Jahren träumt |
|
Nicholas Merrill von einem Telekommunikationsanbieter, der die Daten seiner |
|
Kunden nicht kennt und sie somit garantiert nicht weitergeben kann. Der |
|
Versuch, diesen Traum mit einem Provider des so genannten |
|
[1][//www.calyxinstitute.org/content/internet-provider-pledges-put-your-pri |
|
vacy-first-always:Calyx Institute] wahrzumachen, ist nun vorerst an der |
|
Finanzierung gescheitert. |
|
|
|
Das Crowdfunding-Projekt erweckte offenbar nicht das breite Interesse der |
|
Öffentlichkeit, auf das die Macher gehofft hatten. Doch während Merrill |
|
nicht aufgibt und schon nach neuen Finanzierungsmöglichkeiten sucht, |
|
bezweifeln Beobachter, ob er sich damit überhaupt gegen den amerikanischen |
|
Staat durchsetzen kann. |
|
|
|
Denn die Überwachung im Dienste des so genannten Kampfes gegen den |
|
Terrorismus scheint in den USA bisher unantastbar. Einige große Provider |
|
wie AT&T oder Verizon kooperieren willig mit den Sicherheitsbehörden, sie |
|
geben jährlich Millionen von Kundendaten preis. Merrill versucht seit 2004, |
|
dieser Beobachtungswut etwas entgegenzusetzen. |
|
|
|
Der 39-Jährige betrieb damals eine kleine Providerfirma in New York und |
|
bekam einen Brief des FBI, dem Inlands-Nachrichtendienst der Vereinigten |
|
Staaten von Amerika. Nicht irgendeinen Brief, sondern einen Nationalen |
|
Sicherheitsbrief – also eine Aufforderung, bestimmte Daten seiner Kunden zu |
|
übermitteln. |
|
|
|
## Komplett verschlüsselt |
|
|
|
Die Sicherheitsbriefe sind Teil des so genannten US-Patriot Act, der 2001 |
|
nach den Anschlägen auf das World Trade Center in Kraft trat. Seitdem |
|
können US-Sicherheitsbehörden ohne Hinweise auf eine konkrete Straftat |
|
Daten über Kommunikation, Finanzströme und Kreditnahme einzelner Personen |
|
anfordern, etwa von Providern wie Nicholas Merrill. |
|
|
|
„Meine Idee war nun, von vorne herein gar nicht fähig zur Kooperation mit |
|
den Behörden zu sein“, sagt Merrill. Er gründete das Calyx Institute als |
|
Arbeitsgemeinschaft von IT-Experten, um den speziellen Providerdienst |
|
aufzubauen. |
|
|
|
Dieser soll den Datenverkehr eines Nutzers vom Endgerät bis zum |
|
aufgerufenen Server komplett verschlüsseln, auf dass der Provider selbst |
|
nicht mitlesen könne. Daten, die er nicht hat, kann der Anbieter dann auch |
|
nicht an den Nachrichtendienst weitergeben – so das Kalkül des Teams um |
|
Merrill. |
|
|
|
Laut der Bürgerrechtsbewegung [2][Amercian Liberties Union] (ACLU) ergehen |
|
jährlich zehntausende Sicherheitsbriefe an Provider und Kreditinstitute und |
|
das meist ohne richterliche Anordnung oder einen konkreten Hinweis auf eine |
|
Straftat. 143.000 Anfragen führten laut der Organisation in den Jahren 2003 |
|
bis 2005 etwa zu lediglich 53 Strafanträgen – keiner davon war mit |
|
Terrorismus verbunden, auf den der Patriot Act eigentlich abzielt. |
|
|
|
## Eingriffe verletzen grundlegende Rechte |
|
|
|
„Seit Inkrafttreten des Patriot Act vor mehr als einer Dekade wurde er |
|
immer wieder unsauber angewandt, Übertretungen wurden durch gesetzliche |
|
Anpassungen nachträglich legalisiert“, sagt Laura Murphy, Chefin des |
|
ACLU-Büros in Washington. „Er interveniert in die Privatsphäre der |
|
Amerikaner und verletzt ihre grundlegenden Rechte.“ |
|
|
|
Aus diesem Blickwinkel scheint ein Projekt wie das des Calyx Institute |
|
wünschenswert. Die nötige Unterstützung fehlte am Ende dennoch. Über die |
|
Fundraising-Plattform [3][Indiegogo] wollten Merrill und seine Kollegen |
|
seit Mai rund eine Millionen US-Dollar sammeln, um ihr auf 70 Regionen |
|
gestütztes Breitband-Netzwerk und ein darüber gelegtes VPN-Netzwerk zu |
|
finanzieren. Später sollten auch alle Mails, die Kunden über den Betreiber |
|
versandten, so verschlüsselt werden, dass nur der Kunde selbst sie |
|
entschlüsseln kann. Wie alle Dienste sollte auch dies auf |
|
Open-Source-Software basieren. |
|
|
|
Doch obwohl das geradezu nach kollektiver Finanzierung schreit, kamen bis |
|
zum Ablauf der Frist Ende vergangener Woche nur knapp 70.000 US-Dollar |
|
zusammen. „Die meisten Internetnutzer sehen noch immer nicht die Relevanz |
|
von sicheren Datenverbindungen“, schätzt Willi Geiselmann, Experte für |
|
Verschlüsselung und Sicherheit am Karlsruher Institut für Technologie |
|
(KIT). Das Projekt sei gerade aus diesem Grund positiv zu sehen. |
|
|
|
Es biete dem durchschnittlichen Kunden den Schutz, den er sich selbst durch |
|
Programme wie [4][PGP] und AES-Verschlüsselungen etwa für sein Mailprogramm |
|
auch heute schon zulegen kann, als komfortables Gesamtpaket. Doch das ist |
|
gleichzeitig auch das Problem des Calyx Institute: „Unter den |
|
Otto-Normal-Nutzern gibt keinen Markt für solche Angebote“, sagt |
|
Geiselmann. |
|
|
|
## Provider kann Augen nicht verschließen |
|
|
|
Der Wissenschaftler bezweifelt zudem, dass Merrill die Daten so umfassend |
|
verschleiern kann, dass er tatsächlich nicht mehr zum Kollaborateur wider |
|
Willen werden kann. Auch wenn mehrere Server im selben Land, also etwa über |
|
das Calyx-Netzwerk innerhalb der USA, zwischengeschaltet seien – solange |
|
der Anbieter nicht Start- oder Endpunkt einer Datenübermittlung ins Ausland |
|
verlagere, müsse der Provider die Endkunden gezwungenermaßen zur Kenntnis |
|
nehmen. Und für den Secret Service sei mitunter auch schon interessant, wer |
|
mit wem wie große Datensätze austausche. |
|
|
|
Nicholas Merrill verteidigt das Projekt: Man wolle auch |
|
Anonymisierungstechniken wie das Tor-Project einbinden. Tor ist ein |
|
weltweites Server-Netzwerk, dessen Betreiber nur ein Ziel haben: Daten |
|
anonymisiert zu übertragen, indem sie sie über zahlreiche Server umleiten. |
|
Merrill setzt darauf, dass der Provider dadurch Spuren wie etwa die |
|
IP-Adresse des Nutzers zu einem bestimmten Zeitpunkt kenne, aber |
|
keinesfalls die gesamte Transaktionskette entlang nachvollziehen könne. |
|
|
|
Man arbeite auch an einem System, das den Kunden willkürliche ID-Nummern |
|
zuordnet, anstatt sie mit Name und Adresse abzuspeichern. „Wenn jemand zu |
|
uns kommt und die Datenauskünfte über John Smith haben will, werden wir |
|
nicht in der Lage sein, diesen konkreten Namen der ID zuzuordnen“, sagt |
|
Merrill. Die richtigen Leute dafür hat er mit Spezialisten wie Sascha |
|
Meinrath, Chef der Open Technology Intiative, und Jacob Appelbaum, |
|
Mitbegründer des Tor-Netzwerks, jedenfalls zusammengetrommelt. Doch können |
|
sie gemeinsam für vollkommene Sicherheit sorgen? |
|
|
|
„Bei einer digitalen Übermittlung von Daten gibt es keine vollkommene |
|
Sicherheit, das ist reine Illusion“, sagt Hartmut Pohl. Auch der Sprecher |
|
für Datenschutz und IT-Sicherheit der Gesellschaft für Informatik bleibt |
|
gegenüber dem Projekt skeptisch und erzählt eine kleine Anekdote: |
|
Angenommen ein Milliarden-schwerer Deal wie die Kaufplanung des |
|
US-Autobauers Chrysler durch Daimler-Benz Ende der 90er interessierte den |
|
US-Nachrichtendienst. |
|
|
|
„Dann wäre der persönliche Kontakt zwischen den Vorstandsvorsitzenden auch |
|
heute noch die sicherste Kommunikation, um die Details des Deals |
|
abzuklären“, sagt Pohl. Denn vom technologischen Fortschritt der |
|
elektronischen Kommunikation hätten Sicherheitsbehörden genauso profitiert |
|
wie Internetaktivisten – Möglichkeiten der Überwachung, etwa durch |
|
hochentwickelte Trojaner, inklusive. |
|
|
|
## Gesellschaft soll diskutieren |
|
|
|
„Wir können davon ausgehen, dass weltweit jede digitale Kommunikation |
|
vollständig überwacht werden kann – unabhängig von der Unterstützung eines |
|
Providers“, sagt Pohl. „Die amerikanischen Sicherheitsbehörden haben in den |
|
USA Geräte in den Räumen der Provider zur Überwachung der Kommunikation |
|
installiert, so dass die Nationalen Sicherheitsbriefe nur eine rechtlich |
|
flankierende Maßnahme darstellen.“ |
|
|
|
Der Professor für Informationssicherheit glaubt nicht, dass sich Nicholas |
|
Merrill dauerhaft gegen die Überwachungsmaßnahmen der Behörden wehren |
|
könne. Der Druck und auch die Rechte der Sicherheitsbehörden seien in den |
|
USA bekanntlich sehr groß. |
|
|
|
„Natürlich kann ich unterliegen mit meinem Plan“, sagt Nicholas Merrill. |
|
Doch er habe es geschafft, seit dem ersten Sicherheitsbrief des FBI die |
|
verlangten Daten nicht herauszugeben und habe langsam Erfahrung in den |
|
Kleinkriegen mit den Behörden. Außerdem hat er mit Brian Snow ein |
|
ehemaliges Mitglied des National Security Service für sich gewonnen. „Es |
|
gibt mittlerweile viele Fraktionen innerhalb des US-Secret Service, die |
|
eine ständige Verletzung der Bürgerrechte nicht mehr bedingungslos |
|
unterstützen wollen“, sagt Merrill. |
|
|
|
Er will schon bald wieder auf die Suche nach Geld für sein Projekt gehen |
|
und setzt dabei auf Personen wie Snow, die sein Anliegen im Ansatz |
|
unterstützen. Die Gesellschaft soll anfangen, über den Patriot Act zu |
|
diskutieren, quer durch alle Schichten. |
|
|
|
Willi Geiselmann vom Karlsruher Institut für Technologie glaubt, dass das |
|
Calyx Institute hierbei viel erreichen kann. Je mehr Menschen sich für die |
|
staatliche Überwachung interessieren und die Probleme verstehen, desto eher |
|
entstehe öffentlicher Druck. Insofern sei die Initiative in jedem Fall |
|
positiv – egal ob der Provider überhaupt jemals an den Start geht. |
|
|
|
19 Jun 2012 |
|
|
|
## LINKS |
|
|
 |
[1] http://https |
|
[2] http://www.aclu.org/reform-patriot-act |
|
[3] http://www.indiegogo.com/calyx?c=home |
|
[4] http://www.pgpi.org/ |
|
|
|
## AUTOREN |
|
|
|
Karen Grass |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
E-Mail-Überwachung: Schnüffler wollen in Ruhe schnüffeln |
|
|
|
Rund 37 Millionen E-Mails und Telefongespräche hat der BND im Jahr 2010 |
|
gefilzt. Bei der Frage nach Details mauert die Bundesregierung. |
|
|
|
CCC Kongress zu Überwachungssoftware: Handys sind leicht zu hacken |
|
|
|
Eine Schwachstelle bei der Handy-Technik GSM erlaubt es Angreifern, die |
|
Kontrolle über die Geräte zu übernehmen. Selbst fremde Mailboxen können |
|
ohne PIN abgehört werden. |
|
|
|
Verschlüsselung im Netz: Wenn der digitale Notar schlampt |
|
|
|
Abermals wurde die Internetverschlüsselung SSL geknackt, wieder waren |
|
iranische Internetnutzer Ziel der Angriffe. Die Angriffe blieben über |
|
Wochen unentdeckt. |
|
|
|
US-Reaktionen auf bin Laden: Tod, Gerechtigkeit, Größe |
|
|
|
In den USA sind kritische Stimmen zur Tötung Osama bin Ladens in diesen |
|
Tagen selten. Bürger, Dozenten, Soldaten und Linke – alle loben Obamas Mut. |
|
|
|
CCC-Aktivist über Anonymisierungsdienste: "Wie ein Virenscanner" |
|
|
|
Julius Mittenzwei vom Chaos Computer Club erklärt im Interview den |
|
Anonymisierungsdienst Tor. Er glaubt, dass ihm eine große Zukunft |
|
bevorsteht, auch weil der Staat immer mehr wissen will. |
|
|
|
Nachruf auf George W. Bush: Politische Karriere als Ödipaltherapie |
|
|
|
Es begann mit Wahlbetrug, es folgten Kriege, Patriot Act, Guantánamo und |
|
Abu Ghraib. Das Beste an der Ära George W. Bush ist, dass sie am 20. Januar |
|
unwiderruflich zu Ende geht. |
