Datenschutz – Eine Grundsatzdebatte

„Ein Kommentar über die NSA-Affäre? Das ist doch sowas von 2013!“

Wie sieht eigentlich gerade die Lage aus?

Die tolle Idee wäre doch, eine Überwachungsinstanz zu haben, welche die Bürger*innen vor Kriminalität und – allgemein ausgedrückt – vor Gefahr schützt. Dabei würden diese Geheimdienste durch Gesetze und Gerichte reguliert werden, nur die hin zu dem oben genannten Ziel zu agieren. In der Realität sieht die Intention der Geheimdienste und deren Regulierung anders aus: Fähige Geheimdienste spionieren nicht nur anscheinend befreundete Regierungen aus, sondern auch pauschal alle Bürger*innen. Dies geschieht unter dem Rahmen von vielen Bezeichnungen – „Vorratsdatenspeicherung“ ist nur eine davon:

• Internetknoten und sogar Unterseekabel werden angezapft [1],
• Telekommunikationsfirmen wurden gehackt [2] oder kooperierten dann sogar freiwillig [3],
• Antiviren Software wird infiltriert um besser Zugang zu Systemen zu erlangen die eigentlich damit geschützt werden sollten [4]
• und auf die Daten vielgenutzter Onlinedienste wie soziale Netzwerke oder Email Clients kann mit PRISM nach belieben zugegriffen werden [5] [6].

Die Begründungen die oft präsentiert werden, sind meistens Kriminalität, Schutz vor Terror oder die sexuelle Ausnutzung von Kindern im Internet. Und da jede*r potentiell dafür in Frage kommt, muss schließlich jeder überwacht werden. Allerdings verstößt das wahllose Abhören vor allem ohne ausreichende gesetzliche Grundlage unter anderem gegen deutsche Gesetze. Durch Snowdens Enthüllungen und die darauf folgenden Untersuchungen kam heraus, wie die NSA vor allem mit Beihilfe des BNDs ein Abhörnetz aufgebaut hat, das kaum durch Gerichte reguliert wird. Mit dessen Hilfe werden unter anderem Journalist*innen und Parteimitglieder z.B. von Oppositionsparteien der USA, Deutschland und anderen Ländern abgehört [7].

„Soll die NSA doch meine Katzenvideos sehen. Ich habe ja nichts zu verbergen. Nur Kriminelle haben etwas zu verbergen.“

Dieses Argument hörte und hört man doch sehr oft. Das Problem bei diesem Satz ist nur, dass dadurch der Anspruch auf ein Grundgesetz in Frage gestellt wird. Erstens gibt es durchaus Personen, die nicht kriminell handeln, allerdings trotzdem gerne ihr Recht auf das 10. Grundgesetz des Postgeheimnisses gebrauchen wollen. Viel wichtiger allerdings ist die Tatsache, dass das Grundgesetz einige Schutzgarantien für ihre Bürger geben sollte: Fakt ist: Regierungen, auch wenn sie Demokratien sind, missbrauchen ihre Mittel (z.B. des Militärs) unter anderem für ihren Machterhalt und nicht für die Verteidigung von Menschenrechten oder Leben. Wie Julian Assange zeigte, begeht auch die angebliche Vorzeigedemokratie USA systematisch Anschläge und Terror vor allem mit dem Ziel zu destabilisieren. Aktueller wäre noch die mutmaßliche Nutzung von KI für das Auswählen von Menschenzielen im Gazakrieg. Um nun zum Thema Datenschutz zurückzukommen: Israel füttert ihre KI unter anderem mit abgefangenen Daten aus Whatsapp Nachrichten [8].

Grundgesetze sollten eine nur schwer änderbare Barriere sein, die das Erstarken einer autoritären Regierung verhindern soll, welche die Staatsorgane missbrauchen würde und eine Gewaltenteilung zerstört, um sich in ihrer Macht zu festigen.

Die passierte nicht nur in der Geschichte durch den Überwachungsstaat der DDR sondern auch heute: Was in der Türkei noch vor zehn Jahren unvorstellbar war, ist vor zwei Jahren durch ein Referendum Wirklichkeit geworden. Dieses Referendum gab Erdogan mehr Einflussmöglichkeiten in die Exekutive und Judikative. Nun sanktioniert die Türkei den Import von Datensicherheitstechnologien, verlangt von heimischen Diensten den Einbau einer Hintertür für die Regierung und sperrt Journalisten weg, die geheim kommunizieren.

Zurück nach Deutschland: Der zweite Weltkrieg hat uns gezeigt, passiert, wenn man Redekunst, Terrorisierung der Bürger*innen, eine ohnehin schwächelnde Demokratie und eine Brise Größenwahn in einen Topf gib. Wir haben unsere Lehren gezogen: Heute ist Deutschland eine sogenannte wehrhafte Demokratie die mit zahlreichen Schutzmechanismeneine allzu schnelle Machtergreifung von demokratiefeindlichen Parteien verhindern soll.

Ich halte einen neuen Hitler in Deutschland für unwahrscheinlich, habe allerdings trotzdem bei der Wahl 2017 besorgt auf den überraschend großen hellblauen Balken einer Partei gesehen, welche es mit dem Datenschutz etwas lockerer nimmt. Datenschutz sollte selbstverständlich sein, denn dieser erlaubt Bürger*innen, Meinungen (auch staatskritische) zu äußern, ohne staatlich verfolgt zu werden. Das Problem ist nur, wenn wir erst einmal in einem autoritären Staat wie in den vielen Beispielen aus unserer Geschichte leben, wird es sehr schwer werden, überhaupt vertraulich auf mögliche Verfehlungen des Staates hinzuweisen.

Durch Snowdens Enthüllungen kam es zu keinen rechtlichen Folgen für staatliche Abhör- Akteure [9][10]. Deren Handlungen wurden sogar im Nachhinein durch neue Gesetze legitimiert, obwohl verschiedene Gerichte z.B. auf EU Ebene, in den USA oder in europäischen Staaten diese Überwachung als gesetzeswidrig erkennen [11].

Politisch wird bereits seit langem daran gearbeitet, noch existierende Gesetze zum Datenschutz mit fadenscheinigen Argumenten aufzulockern. Ein prominentes Beispiel dafür ist die sog. Chatkontrolle für Messenger Dienste bei der staatlichen Institutionen einen universellen Zugangsschlüssel für Kommunikationen in Whatsapp erhalten [12].

Aber es ist doch seit dem viel passiert? End-to-End Verschlüsselung und so…

Mehr Verschlüsselung in der Industrie war die Hauptreaktion auf Snowden. Jetzt sieht man auf so ziemlich jeder Webseite dieses Schloss-Symbol in der Browser-Leiste und Messenger-Apps versprechen sog. End-To-End Verschlüsselung. Bei letzterem werden Nachrichten zwischen zwei Parteien mit Schlüsselmaterial verschlüsselt, welches nur die beiden Parteien haben (sollten). Die Nachrichten bleiben damit verschlüsselt vom Moment des Absendens bis zum Moment des Empfangens. Der Teufel steckt allerdings im Detail. Dieses Sicherheitsmodel lässt sich nun verschiedenen Ebenen brechen: Schauen wir mal auf Whatsapp: Wenn behauptet wird “End-to-End“ zu verschlüsseln, sollte man auch beweisen können, dass das dafür benutzte Schlüsselmaterial wirklich nur die intendierten Kommunikationsparteien besitzen, sodass auch nur die beiden Parteien auf ihre verschlüsselten Nachrichten zugreifen.

Ein häufiger Mechanismus der das Abfangen oder Einschleusen von Schlüsseln erschweren soll ist, Schlüsselmaterial über einen sog. sicheren Kanal auszutauschen. Diese sicheren Kanäle sind aber technisch aufwändig und/oder unsicher; konkret für Whatsapp bedeutet das, dass der Schlüsselaustausch nicht beweisbar sicher ist, was wiederum bedeutet, dass Dritte auch Zugriff auf die Kommunikationsschlüssel haben könnten [13]. Ein wahrhaftig sicheres Beispiel für einen sicheren Kanal (und ja, das ist mein Ernst) ist ein persönliches Treffen, in dem zwei Kommunikationspartner*innen physisch ihre jeweiligen Schlüssel austauschen. Bei Whatsapp geht das z.B. mit dem Vergleich des persönlichen “Verifizierungscode” eines Kontaktes.

Aber wer macht denn sowas?

Im Übrigen ist es für eine*n Angreifer*in viel pragmatischer einfach das Endgerät der Kommunikationsteilnehmer*innen zu hacken, und damit jegliche Verschlüsselung einfach zu umgehen. Dagegen helfen dann eventuell auch nur speziel gehärtete Betriebssysteme.

Können sich alle so etwas ihrem Handy einrichten?

Oft muss nicht einmal irgendetwas gehackt werden: Auch Metadaten, also unverschlüsselte Kontextinformation (wie z.B. Nachrichtenlänge, Uhrzeit des Verschickens, Absender*in und Empfänger*in, geographischer Ort des Empfängers oder Senders) können und werden von diesen vermeintlich sicheren abgefangen und dafür genutzt tiefgreifende Persönlichkeitsprofile zu konstruieren. Die möglichen (und genutzten) Angriffsszenarien könnten hier nun endlos weitergeführt werden…

Was kann ich nun machen?

Während einige Angriffe nur mit hohem technischen Aufwand zu verhindern sind, können andere Angriffe mit verhältnismäßig vertretbarem Aufwand verhindert werden:

• Wie wäre es denn mal statt Whatsapp mit der App „Signal“, ein Messenger der ebenfalls E2E verschlüsselt aber auch auf deine Metadaten acht gibt.
• Wusstest du, dass viele Emails, insbesondere zwischen unterschiedlichen Emailanbietern (wie z.B. zwischen Gmail und Outlook) in der Regel nicht verschlüsselt werden? Ließ dich mal in PGP (Pretty Good Privacy) ein. Lade dir mal einen PGP Client für dein Lieblingsbetriebssystem herunter und verschicke zwischen dir und einem Mitstreiter einfach mal einige verschlüsselte Emails zum Spaß.
• Für etwas computeraffine Menschen gibt es prism-break (https://prismbreak.org/ en/), ein aufwändig kurriertes öffentliches Verzeichnisses von Open Source Programmen, die als sicher gelten gegen breites Abhören.
• Statt zu Googlen, benutze mal DuckDuck-Go und benutze einen VPN.
• Nicht alle Sachen müssen komplett online erledigt werden. Kalender-Apps oder Email Programme können auch über kostenlose offline-verfügbare Clients wie Thunderbird eingerichtet werden.
• Für Dienste, die einen Server brauchen (z.B. einen Email-Server), musst du dir im Klaren sein, für was du zahlst und wie du zahlst. Wenn du nicht mit Daten zahlen möchtest, musst du mit Geld zahlen, was ja auch nur fair ist: Statt Gmail zu nutzen, zahle dann also für z.B. https://kolabnow.com/. Oder benutze die Möglichkeiten, die du als Student an der TUM hast: Beispielsweise, statt Zoom zu benutzen, nimm einfach https:// bbb.cit.tum.de/ (vorausgesetzt du hast einen RBG-Account, welchen sich jeder Student in dem MI Gebäude bei der RBG kostenfrei erstellen lassen kann).

Quellen

[1] https://www.tagesschau.de/ausland/europa/chatkontrolle-eukindesmissbrauch-102.html
[2] https://medium.com/chip-monks/backdoor-to-whatsapp-end-to-endencryption-814f1f770ef2
[3] https://www.spiegel.de/politik/ausland/die-uss-jimmy-carter-soll-fuer-die-nsa-glasfaserkabelanzapfen-a-908815.html
[4] https://www.spiegel.de/netzwelt/netzpolitik/ndr-und-sz-telekommunikationsfirmenkooperierenmit-geheimdiensten-a-914428.html
[5] https://www.nytimes.com/2015/08/16/us/politics/att-helped-nsa-spy-on-an-arrayof-internettraffic.html?hp&action=click&pgtype=homepage&module=first-columnregion&region=topnews&wt.nav=top-news&_r=0
[6] https://www.golem.de/news/nsa-und-gchq-geheimdienste-attackieren-anti-viren-hersteller-1506-114827.html
[7] https://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nineusinternet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html
[8] https://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data
[9] https://netzpolitik.org/2015/vollkommen-ausser-kontrolle-bnd-half-wahrscheinlich-dernsadeutsche-politiker-zu-ueberwachen/
[10] https://theintercept.com/2024/05/22/whatsapp-security-vulnerability-meta-israelpalestine/
[11] https://www.faz.net/aktuell/politik/inland/streit-ueber-bnd-taetigkeit-regierung-willkeinepersonellen-
konsequenzen-ziehen-13561326.html
[12] https://www.zeit.de/digital/datenschutz/2017-10/nsa-affaere-spionage-deutschlandbndedward-snowden
[13] https://www.reuters.com/article/us-usa-nsa-spying/u-s-court-mass-surveillanceprogramexposed-by-snowden-was-illegal-idUSKBN25T3CK/