BND Brother is watching us

Eheml. Abhöranlage der US-Armee, Teufelsberg, Berlin. Diesel74656 / devianart

Eheml. Abhöranlage der US-Armee, Teufelsberg, Berlin. Diesel74656 / devianart

Der deutsche Auslandsgeheimdienst BND steckt ganz tief drin im NSA-Skandal. Das belegt ein geheimer Prüfbericht der Bundesdatenschutzbeauftragten Andrea Voßhoff, der von netzpolitik.org veröffentlicht wurde. Das Bundeskanzleramt als Dienstherr des BND hat die Praktiken über Jahre hinweg nicht wahrgenommen, ignoriert oder sogar gedeckt – die vielfachen Rechtsbrüche aber auf jeden Fall nicht gestoppt. Im Gegenteil: Das neue BND-Gesetz, das noch dieses Jahr verabschiedet werden soll, legalisiert das BND-Vorgehen und weitet seine Befugnisse noch aus. Wohlgemerkt: Eine Behörde, die mehrfach Rechtsbruch begangen hat (das Wort benutzen sowohl die Beauftragte als auch ein Landesrichter in einer Reaktion) und das „Grundrecht von unendlich vielen Bürgern verletzt hat“ (H.-C. Ströbele, Grüne), bekommt erweiterte Befugnisse, ohne dass vorher alle Vorwürfe ausgeräumt wurden. Folgende BND-Aktionen sind für uns Bürger aus meiner Sicht besonders bedeutsam:

  • die intensive Metadatensammlung, auch von unverdächtigen Personen (auf eine verdächtige Person kommen 15 unverdächtige). Zitat aus dem Prüfbericht:

Indem der BND sämtliche Metadaten aller Kommunikationsverkehre auf einer Kommunikationsstrecke ausleitet und nach Durchlaufen der DAFIS-Filterung in VERAS 6 erfasst, speichert und nutzt der BND unstreitig auch Metadaten von Kommunikationsverkehren unbescholtener Personen, die für seine Aufgabenerfüllung nicht erforderlich sind.

  • die Nutzung des NSA-Durchsuchungs-Tools Xkeyscore direkt an Internetknoten. Laut dem Prüfbericht durchsucht der BND mit dem Tool

[…] weltweit den gesamten Internetverkehr (IP-Verkehr), d. h. alle im IP-Verkehr enthaltenen Meta- und Inhaltsdaten und speichert die getroffenen IP-Verkehre (E-Mails, Chats, Inhalte öffentlicher sozialer Netzwerke und Medien sowie nicht öffentlicher, d. h. für den allgemeinen Nutzer nicht sichtbarer, Nachrichten in Webforen etc.) und damit alle in diesen IP-Verkehren auftauchenden Personen (Absender, Empfänger, Forenteilnehmer, Teilnehmer der sozialen Netzwerke etc.).

  • die unkritische Vewendung, Speicherung und Verarbeitung von Selektoren (Suchmustern) der NSA. Jeder Verwendung müsste eine Tauglichkeitsprüfung vorhergehen, was bei 14 Mio. Begriffen natürlich unmöglich ist. Stattdessen ungefilterte Weitergabe der Ergebnisse an die NSA.
  • die ungenaue Aussiebung deutscher Nutzer aus den Ergebnissen (die der BND qua Auftrag nicht überwachen darf);
  • die Nutzung von Datenbanken („Dateianordnungen“) offenbar ohne (?) Erlaubnis des Bundeskanzleramtes;
  • die weitgehende Behinderung der Kontrolle der Bundesdatenschutzbeauftragten.

Wenn die NSA der Big Brother ist, dann ist der BND der kleine Bruder – oder besser: ein Halbwüchsiger, der unbedingt Gangmitglied sein will, aus Geltungssucht und Arroganz Gesetze übertritt und die Folgen seines Tuns nicht überblickt.
Dabei sind die laut Landesrichter Ulf Burmeyer gravierend:

Wenn der BND diese Grenzen nicht einhält, dann höhlt er den Rechtsstaat des Grundgesetzes aus, den er doch eigentlich schützen soll.

Was können wir tun?

Nicht die Nerven verlieren. Wir sind das Volk. Wir haben solange Macht über unsere Daten, bis wir sie ins Netz setzen. Wir können bestimmen, welche Worte wir in die Telefonleitungen sprechen, welchen Post wir auf Facebook setzen, welchen Email- und Kurznachrichtendienst wir nutzen und ob uns Verschlüsselung zu kompliziert ist oder nicht. Die Grundsätze Datenschutz (Passwörter! Verschlüsselung!) Datensparsamkeit (Tu nur das Nötigste im Netz!) und Datenhygiene (Trau nicht nur einem Anbieter! Lösche nicht verwendete Konten!) sind nun wichtiger denn je. Und vor allem: Löscht dieses verdammte Whatsapp! Die neuen AGB belegen, dass die Daten unbescholtener Bürger (unserer Telefonbucheinträge!) durch die Whatsappnutzer selbst ins Netz gegeben werden, was in diesem Falle allen drei o. g. Grundsätzen widerspricht und willkommenes Futter für die NSA und ihre Gehemdienstbuddies sind.

Was muss die Politik tun?

Ich hoffe, dass uns die Politik nicht im Stich lässt. Der Prüfbericht enthält soviel Sprengstoff, dass er für einen dicken Ruck durch Regierung, Ministerien und Bundestag ausreicht. Konkret hoffe ich,

  • dass die Bundesdatenschutzbeauftragte und der NSA-Untersuchungsausschuss die Rechtsbrüche durch den BND als solche benennen und sie dem Parlament und uns Bürgern erklären;
  • dass es politischer Konsens wird, dass unser Auslandsgeheimdienst transparenter agieren muss;
  • dass das BND-Gesetz daraufhin verändert wird;
  • dass die Zusammenarbeit von NSA und BND geklärt und auf das politisch kontrollierbare Mindestmaß reduziert wird;
  • dass die Parteien die Wahrung des Grundrechts auf informationelle Selbstbestimmung zum Thema der Bundestagswahl 2017 machen.

Es bedarf ferner einer breiten gesellschaftlichen Diskussion über das Verhältnis von Freiheitsrechten einzelner und dem Schutz der Allgemeinheit. Als Impuls ist dafür freilich ist ein gewisses Maß an Empörung notwendig, die ich bislang aber leider nicht erkennen kann. Die Einstellung „Ich habe doch nichts zu verbergen“ ist wohl noch zu weit verbreitet, obwohl sie kurzsichtig und gefährlich ist. Bei der Frage, wie unsere Behörden mit unseren Daten umgehen, geht es ums Ganze: um unsere Freiheit und die Zukunft unserer Gesellschaft. Empören wir uns!

Gutjahr gemeint, aber…

Ich freue mich über die vielen Initiativen, die auf die Schutzbedürftigkeit der Privatsphäre hinweisen und für den Wert persönlicher Daten sensibilisieren.
An das Abkleben von Webcams denke ich dabei aber nicht, zumindest nicht als erste Maßnahme. Zwar hat der britische Geheimdienst GCHQ über Webcams privater Laptops Fotos von dem Zuhause völlig Unverdächtiger gemacht und gespeichert, was zweifellos zu den größten Eingriffen in die Privatsphäre gehört, die ich mir vorstellen kann. Doch angesichts der Millionen Smartphones, deren Kameras viel mehr über die Besitzer verraten könnten, allein aufgrund der wechselnden Standorte – die aber munter zum Fotografieren / für Selfieshoots genutzt werden und deshalb unabgeklebt bleiben – ist die Notebook-Webcam doch eine ziemlich informationsarme Überwachungsquelle, oder? (Die Kameras von Smart-TVs, die ja auch schon gehackt wurden, demnach auch.)

Aktion auf www.gutjahr.biz zur re:publica 2016

Aktion auf www.gutjahr.biz zur re:publica 2016

Eine Aktion von Richard Gutjahr, eines von mir ansonsten hochgeschätzten Journalisten, hat die ganze Abdeckerei nun ins Absurde getrieben – trotz der Einbeziehung von Handykameras. Zur Re:publica hat er 12 Kilo Abdeckungen für Webcams oder eben Smartphones produzieren lassen, um sie an seine Follower zu verschenken.
In einem Blogeintrag schrieb er:

Schickt einfach eine Mail oder einen Snap mit Eurer Post-Adresse oder abonniert meinen Newsletter. Die ersten 100 Einsendungen oder Neu-Abonnenten erhalten jew. ein Heft mit 2 Webcam-Stickern per Post (das Porto übernehme ich).

Klingelt’s da?
Gutjahrs Freundinnen und Freunde bekommen eine Kameraabdeckung samt einer Postkarte mit der Aufschrift „Your Privacy has been deleted“, wenn sie ihre Postadresse über Email oder Snapchatalso sehr unsichere – Dienste übermitteln!
Paradox, oder?

  • Eine Email wird (wenn Sie nicht mit PGP verschlüsselt ist, was noch immer ziemlich kompliziert ist) in Klartext übertragen und z. T. sogar auf Inhalte gescannt – z. B. von Google, aber auch von den deutschen und US-Geheimdiensten.
    Damit ist sie ungefähr so sicher wie eine Postkarte.
  • Snapchat speichert diverse Daten des Absenders zu nicht genau erklärten Zwecken. Zudem ist die App nicht vor Hackern sicher.
  • Zuguterletzt gehört der Brief zum wohl unsichersten Kommunikationsmedium unserer Zeit. Nicht nur, weil täglich zigtausende Briefe verloren gehen (2004 schätzten Verbraucherschützer die Zahl auf 70.000) oder weil Briefsendungen gescannt werden und damit theoretisch hackbar sind – Das Scannen geschieht auf Wunsch des Kunden, internationale Post wird aber auch ohne dieses Einverständnis stichprobenartig gescannt („Mail Sampling Unit„, siehe Datenschutzbericht Peter Schaar, 2010-2011, ab S.183). Vor allem sind Briefe unsicher, weil der Briefinhalt nicht verschlüsselt ist, durch viele Hände geht und lange mehr oder weniger unbewacht herumliegt (Postschalter, Absendebriefkasten, Zustellfahrzeug, Zielbriefkasten).

Klar gibt es viele, die ihre Postadresse für nicht schützenswürdig halten. Aber zusammen mit den Metadaten, die zwangsläufig in einer Email mitgeschickt werden (eine tolle Demonstration hier) lässt sich viel über den Absender erfahren.Und Snapchat fällt als datenschutzsensibler Transportweg ohnehin weg.

Was bringt eine Aktion wie die von Richard Gutjahr also? PR-Punkte sicherlich, die ich dem Initiator der Aktion vollstens gönne – aber auch ein verzerrtes Bild der Datenschutz-Prioritäten. Immerhin wird der Fokus auf eine, sehr spezielle Datenschutzmaßnahme gelegt, während unsichere Kommunikationswege unkommentiert in die Aktion miteinbezogen werden.
Angesprochen auf diese Inkonsequenz bot mir Richard Gutjahr immerhin eine Alternative an, die ich schmunzelnd zur Kenntnis genommen habe:

Vielleicht findet er für eine sachliche Auseinandersetung mit meinen Argumenten den Weg auf diesen Blog.

V(iel) P(rivatsphäre) N(ötig)?

Ich sagte es bereits: In Hidemyass habe ich mich getäuscht. Britische Gerichte können die Identität von Nutzern des VPN-Dienstes aufdecken. Die Jahresgebühr, die ich gezahlt habe, ist wohl so etwas wie Lehrgeld. Ich hätte mich ja auch vorher genau informieren können.

Der VPN-Service VPNTunnel funktioniert anders. Das ist ein ehemals schwedischer, nun von den Seychellen aus betriebener Dienst. Das heißt, die Betreiber haben mit EU-Regelungen nichts zu tun – auch nicht mit Vorratsdatenspeicherung.

Konkret heißt das, so schrieb mir ein Mitarbeiter:

We don’t store any logs whatsoever, as our company is based outside the EU and we do not fall under mandatory data retention laws. All we store is our customers‘ usernames and email addresses. All the connection logs are stored on your computer for troubleshooting purposes, and we do not have access to them. 

Also: Sollte irgendein Gericht an die Firma herantreten und meine Daten haben wollen, könnten die Betreiber nur sagen, wer ihre Kunden sind – nicht, wer was wann gemacht hat. Das ist wirklich ziemlich anonym.

Es gibt viele Wege, eine über VPNTunnel gesicherte Verbindung herzustellen – mehrere Windowsprogramme, mehrere Möglichkeiten auch für mobile Geräte. Ich habe sogar meinen Router dazu gebracht, sämtliche über ihn laufende Verbindungen über die fremde IP laufen zu lassen. Die Geschwindigkeit bei deutschen, vor allem aber bei niederländischen Zugriffspunkten ist wirklich gut. Da einige Apps auf unserem Smart-TV jedoch eine deutsche IP brauchen, habe ich die Lösung mit dem Router verworfen und nutze die VPN-Verbindung nun einzeln auf meinem Notebook und meine Mobilgeräten.