Oskar Welzl: Weblog zur Homepage

Der PRISM-Skandal schlägt Wellen. Kaum jemand, der sich nicht (zu Recht) darüber ärgert. Andererseits muß man auch so ehrlich sein und zugeben: Die Schuld an der massiven Überwachung trifft nicht die US-Geheimdienste. Daß es überhaupt so weit kommen konnte, haben 99% der Internet-User zu verantworten. All die Skype-, Facebook-, Google-, WhatsApp- und iCloud-User dieser Welt sind es, die das Internet wissentlich und mit voller Absicht zu einem Selbstbedienungsladen für Datenjäger gemacht haben. Danke, liebe Leser, kann ich da nur sagen. *grümmél*

Warum das so ist und was man tun kann, um den Geheimdiensten vor allem der USA das Leben etwas schwerer zu machen, weiß ich natürlich. Ich sags aber erst später. :) Zuerst kommt der theoretische Teil:

Wie das Internet sein sollte

Das Internet war ursprünglich genau das Gegenteil des heutigen Geheimdienst-Paradieses: chaotisch, dezentral und schwer zu überwachen. Genau dafür wurde es nämlich erfunden, genau das liegt in seiner DNA. Das Internet ist konzipiert als loser, möglichst unorganisierter Verbund gleichberechtigter Rechner, in dem Datenpakete sich selbständig (und unvorhersehbar) ihren Weg bahnen. Im Prinzip gibt es nicht einmal einen Unterschied zwischen denen, die aktiv ein Service bereit stellen (Server) und denen, die nur konsumieren (Client). Je nach Anwendungsfall kann jeder Internet-User beide Rollen einnehmen. (Das entlarvt übrigens, ganz nebenbei, den großen Marketingschmäh bei allem, was sich „Web 2.0“ nennt. Da wird so getan, als ob die aktive Beteiligung der Nutzer an der Gestaltung des Internets und seiner Inhalte etwas Neues und Modernes wäre im Netz. Ist es nicht. Das Internet war immer genau dafür gemacht.)

Die folgende Grafik veranschaulicht dieses ursprüngliche Konzept. Jeder Kreis ist ein Rechner im Netz, egal ob Großrechner, Heim-PC oder Smartphone. Die blauen Kreise symbolisieren die Rechner, die gerade nur als Clients tätig sind. Die roten Kreise stehen für die Server.

Wenn man nun davon ausgeht, daß die roten Server nicht ausgerechnet Webserver sind, sondern so etwas wie Chat- oder Mailserver, dann ergibt sich folgendes Szenario: Ein User nimmt mit irgendeinem Server Kontakt auf. (Welcher Server das ist, kann vorhersehbar sein - oder auch nicht.) Er adressiert eine Nachricht an irgendeinen anderen User. Der Server kümmert sich um die Zustellung der Nachricht an den zweiten Server, dort holt der Empfänger die Nachricht ab. Konkret am Beispiel eines Internet-Chats nach einem Standard-Protokoll aus der Ära vor Facebook sieht das so aus:

Tick, Trick und Track möchten gemeinsam chatten. Da sie weit voneinander entfernt wohnen passiert es, daß jeder von ihnen beim Verbindungsaufbau mit seinem Chat-Programm einen anderen Server erwischt. Das wird ihnen aber gar nicht bewußt, weil die Server sich brav um die Verteilung der Chat-Nachrichten kümmern. Der Inhalt des gemeinsamen Chat-Raums wird zwischen allen drei Servern synchronisiert. Die privaten Nachrichten, die Tick zwischendurch mal an Trick schickt, bekommen nur die beiden Server chat.multi.fr und conv.server.es mit. Auf Tracks Server irc.uni.de kommen diese privaten Nachrichten gar nicht erst an, weil sie nicht für Track bestimmt sind.

Was heißt allein das schon für die Möglichkeit der Überwachung durch Geheimdienste?

Um verläßlich jede Unterhaltung zwischen Tick, Trick und Track abzuhören, reicht es nicht, einen der drei Server zu überwachen. Es müssen alle Server überwacht werden - und selbst das hilft nur für genau diesen einen Anwendungsfall, für den Internet Chat. Sobald Tick, Trick und Track etwas anderes tun - Bilder austauschen zum Beispiel - sind die überwachten Server auch schon wieder nutzlos. Man muß entweder wieder andere Server überwachen oder entschließt sich dazu, statt der Server gleich die einzelnen User auszuspionieren. So oder so: Es ist ein Heidenaufwand für den Geheimdienst, vor allem dann, wenn die Server auf der ganzen Welt verteilt rumstehen und nicht bequem im eigenen Land verkabelt werden können. Kein Vergleich zum Überwachungskomfort von Facebook. Und: Es gibt noch weitere Knüppel, die so ein System dem Geheimdienst vor die Füße wirft, aber dazu später.

Was daraus geworden ist

Wie sieht aber das Internet heute aus? Ist es voll mit Ticks, Tricks, und Tracks, die über dezentral vernetzte Server miteinander chatten? Ganz im Gegenteil:

Ein beängstigend großer Teil der Internet-Nutzung konzentriert sich auf ganz wenige Server bzw. Services, hinter denen kommerzielle Unternehmen stehen. Da diese Unternehmen jeweils nur am eigenen Erfolg interessiert sind und nicht am Internet als Gesamtheit, vernetzen sie sich auch nicht miteinander. Jeder Server versucht wie ein schwarzes Loch, möglichst viele User zu sich zu ziehen. Je mehr User er hat, desto leichter zieht er noch mehr Kunden von anderen Servern ab. Facebook, Twitter, WhatsApp, Google und sogar Skype sind Vertreter dieser Gattung. (Ja, auch Skype. Technisch mag Skype Elemente eines dezentralen Netzes haben, es wird aber zentral kontrolliert.)

Wo ist das Problem? PRISM hat es uns gezeigt: Wenn alle Internet-User dieser Welt sich nur mehr via Facebook austauschen, dann ist es völlig unproblematisch, auch tatsächlich alle Internet-User dieser Welt zu überwachen. Man muß nur Facebook überwachen! (Praktisch, wenn alle diese großen Services ganz zufällig noch in dem einen Land stehen, von dem die Überwachung ausgeht. Manchmal hat man wirklich unglaubliches Glück als Geheimdienst …)

Natürlich ist das noch nicht alles. Daß Facebook leichter zu überwachen ist als eine Unzahl verschiedener Chat-Server ist nur der offensichtlichste Unterschied. Es gibt noch weitere. So können die großen Betreiber allein aufgrund ihrer Marktmacht Benutzungsbedingungen diktieren, die keinen echten Schutz gegen Überwachung und Datenmißbrauch bieten. Wem diese Bedingungen nicht gefallen, dem bleibt nur eine Lösung: draußen bleiben. In der offenen Welt kleiner Server und freier Standards ist das anders. Da ist ein Betreiber vielleicht auch gezwungen, nach den Gesetzen seines Landes Klauseln in seine Benutzungsbedingungen aufnehmen, die nicht jedem gefallen. Aber: Hier gibt es eine Alternative. Man kann weiterhin am Chat teilnehmen und die gleichen Chatrooms besuchen, indem man einfach einen anderen Server jenseits der Grenze wählt. Ganz einfach.

Es gibt weitere Unterschiede. So ist es in einem Netz auf Basis offener Standards jedenfalls einfacher, mit eigener Software beliebige Verschlüsselungstechnologien einzusetzen, die privaten Datenaustausch schützen. Bei den Facebooks, Twitters und Skypes dieser Welt hängt es von der willkürlichen Entscheidung des Unternehmens ab, welche Software und welche Verschlüsselung zur Verfügung steht. Oft genug bieten die Clients entweder keinen derartigen Schutz an … oder genau den einen, der sich vom Anbieter bequem knacken läßt.

Was man dagegen tun kann - PRISM-break

Wie stärkt man also die eigene Privatsphäre (und auch die seiner Freunde), wie schwächt man die NSA, wie wird man zum besseren Menschen? In der Theorie ist das ganz einfach: Niemals große, in sich geschlossene und in den USA beheimatete Services nutzen; stattdessen auf dezentrale, auf der ganzen Welt vernetzte Standardprotokolle ausweichen. In der Praxis ist das gar nicht so leicht. Ich habs probiert und hab dabei versagt. Trotzdem kann man sich bemühen. Sehr oft gelingt es und man findet eine Alternative. Wenn es kein moralisch einwandfreies Angebot gibt, gibt es oft noch Grauschattierungen zwischen dem Idealzustand und dem absolut Bösen. Es sind verschiedene Kriterien, nach denen man einen Internet-Dienst bewerten kann. Man kann daraus so etwas wie ein Punktesystem ableiten und versuchen, den Dienst mit den wenigsten Negativ-Punkten zu wählen.

Folgende Negativ-Kriterien fallen mir ein (für Ergänzungen bin ich offen):

• Wer mit mir Kontakt aufnehmen will, muß Kunde des gleichen Unternehmens sein. Das trifft auf fast alle großen Dienste zu. Twitter, Skype, Facebook, Google+, … im besten Fall erlauben Services wie Twitter, daß man auch ohne entsprechenden Account bei jemandem mitliest. Aktiv zu antworten, das funktioniert nicht. Ein besonders interessantes Gegenbeispiel war/ist (so genau weiß mans nicht) Google mit seinem Google Talk. Das war zwar aus anderen Gründen „böse“, hatte aber eine offene Verbindung nach außen. Alle Benutzer irgendwelcher XMPP-kompatiblen Server auf der Welt konnten mit Google-Talk-Usern chatten, ohne Kunde bei Google zu sein und ohne Googles Nutzungsbedingungen zu akzeptieren. Vor kurzem hat Google beschlossen, genau diese Tür zu schließen. Sie war offenbar nur nötig, solange sich nicht genügend Kunden innerhalb des eigenen Netzes befanden. Nun hat man lang genug von der Arbeit anderer profitiert und schmeißt sie hinaus.
• Das Service wird von einem Unternehmen mit schwachen Datenschutzrichtlinien oder in einem Staat mit schwach ausgeprägter Menschenrechtskultur betrieben. Wenn sich schon kein Anbieter finden läßt, der sich nach offenen Standards mit anderen Servern vernetzt, vielleicht gibt es dann zumindest einen, dem man vertrauen kann. Ein Vergleich der Datenschutzrichtlinien zahlt sich ebenso aus wie ein Blick auf die politische Kultur im Heimatland des Unternehmens. Ein Angebot aus Deutschland oder Schweden würde ich einem gleichwertigen aus den USA oder Weißrussland vorziehen.
• Es handelt sich um das mit Abstand größte und populärste Service seiner Art. Solange es noch nicht dazu gekommen ist, daß sich ein Monopol bildet, ist es sinnvoll, die kleineren Anbieter zu unterstützen. Gerade bei sozialen Diensten wächst die Attraktivität und Marktmacht eines Anbieters mit der Zahl seiner Kunden. Klar: Wenn ich mich auf Twitter anmelde, erreiche ich mit einem Schlag einen Großteil der Menschen, die ich im realen Leben kenne. Im Gegensatz dazu vernetzt mich mein Account bei status.net nur mit einigen wenigen entfernten Internet-Bekanntschaften. Weil ich aber nicht der Grund dafür sein möchte, daß Twitter noch größer (und das Leben für die NSA noch einfacher) wird, entscheide ich mich für status.net.
• Der Anbieter stellt die Software zur Verfügung, die man zur Benutzung des Dienstes benötigt. Ein ganz besonders kritischer Punkt. Wenn die Benutzung eines Services nur mit der Software des Anbieters möglich ist (oder mit Software, die er ausdrücklich genehmigt), dann kontrolliert das Unternehmen im Endeffekt viel mehr als nur meine Nutzungsdaten. Es kann z.B. bestimmen, welches Betriebssystem ich am PC oder am Handy verwenden muß. Es bestimmt darüber hinaus, ob Daten von mir abgegriffen werden, die ich gar nicht aktiv zur Verfügung stellen möchte. (Bei Handy-Programmen für soziale Netzwerke ist es z.B. nicht unüblich, daß der Inhalt des eigenen Adreßbuchs an den Anbieter übertragen wird.)

Manchmal ist es leicht, anhand dieser Kriterien „böse“ Services zu meiden und moralisch akzeptable Alternativen zu finden. Für Instant Messaging mit VoIP-Erweiterung bieten sich XMPP-Betreiber wie GMX oder der Chaos Computer Club an. Statt Twitter gibt es Status.Net. Anders schauts dort aus, wo die kommerziellen Anbieter von Beginn an zu stark waren: Facebook-Alternativen wie Diaspora befinden sich in Entwicklung, so wirklich populär sind sie nicht. Statt YouTube und Flickr gibt es MediaGoblin als wirklich offene Alternative. Praxistauglich für den 08/15-User wie mich ist es nicht, ich beschränke mich darauf, die Entwicklung zu finanzieren.

PRISM-break.org, eine Seite der EFF, versucht in eher unorganisierter Form, einige Alternativen für populäre, aber gefährliche Services und Programme aufzulisten. Aus meiner Sicht schießt die EFF dabei ein bißchen übers Ziel hinaus und vermischt überwachungsgefährdete online-Dienste mit Programmen, die einfach nur proprietär sind und dem ideal freier Software widersprechen. Trotzdem: Die Liste ist interessant, vielleicht findet sich für den einen oder anderen darauf eine Anregung.

Die Moral von der Geschicht

Man kann auf die NSA und die bösen Amis und die Weltverschwörer schimpfen, ja. Man sollte das aber nicht auf Facebook oder Twitter tun, damit macht man sich lächerlich. Wer sein ganzen soziales Leben auf Facebook ausbreitet, jedes Telefonat über Skype führt, statt SMS nur mehr WhatsApp verwendet, alles über die iCloud synchonisiert und seine literarischen Vorlieben via Kindle den Freunden bei Amazon anvertraut, darf sich nicht wundern, wenn die NSA die freundliche und unmißverständliche Einladung auch annimmt. Es bleiben unterm Strich zwei Möglichkeiten:

Entweder man nimmt in Kauf, daß große Datenmengen immer auch Geheimdienste anziehen, und verwendet die coolen und intensiv vermarkteten großen Services weiterhin. Dann hat man aber bewußt die Entscheidung für die Überwachung getroffen und muß sich jetzt absolut nicht künstlich aufregen. (Was man trotzdem nicht machen sollte: Anderen die Freiheit dieser Entscheidung zu nehmen, indem man sie durch sozialen Druck zur Teilnahme an Facebook, Skype oder WhatsApp nötigt.)

Oder aber man will möglichst wenig oder gar nicht überwacht werden - das hat man dann aber selbst zu organisieren, indem man eben genau dort nicht hingeht, wo Überwachung zwingend stattfindet. In diesem Fall wäre es dann auch nur konsequent, zukünftige Projekte zu unterstützen (und sei es nur mit einer Spende), die eine offene Alternative zu bisher konkurrenzlosen Services schaffen wollen.

Diese zwei Möglichkeiten gibt es. Mehr ist da nicht. Opfer spielen und trotzdem WhatsApp nutzen und von Google Play „Apps“ runterladen, das paßt nicht zusammen.