Gutjahr gemeint, aber…

Ich freue mich über die vielen Initiativen, die auf die Schutzbedürftigkeit der Privatsphäre hinweisen und für den Wert persönlicher Daten sensibilisieren.
An das Abkleben von Webcams denke ich dabei aber nicht, zumindest nicht als erste Maßnahme. Zwar hat der britische Geheimdienst GCHQ über Webcams privater Laptops Fotos von dem Zuhause völlig Unverdächtiger gemacht und gespeichert, was zweifellos zu den größten Eingriffen in die Privatsphäre gehört, die ich mir vorstellen kann. Doch angesichts der Millionen Smartphones, deren Kameras viel mehr über die Besitzer verraten könnten, allein aufgrund der wechselnden Standorte – die aber munter zum Fotografieren / für Selfieshoots genutzt werden und deshalb unabgeklebt bleiben – ist die Notebook-Webcam doch eine ziemlich informationsarme Überwachungsquelle, oder? (Die Kameras von Smart-TVs, die ja auch schon gehackt wurden, demnach auch.)

Aktion auf www.gutjahr.biz zur re:publica 2016

Aktion auf www.gutjahr.biz zur re:publica 2016

Eine Aktion von Richard Gutjahr, eines von mir ansonsten hochgeschätzten Journalisten, hat die ganze Abdeckerei nun ins Absurde getrieben – trotz der Einbeziehung von Handykameras. Zur Re:publica hat er 12 Kilo Abdeckungen für Webcams oder eben Smartphones produzieren lassen, um sie an seine Follower zu verschenken.
In einem Blogeintrag schrieb er:

Schickt einfach eine Mail oder einen Snap mit Eurer Post-Adresse oder abonniert meinen Newsletter. Die ersten 100 Einsendungen oder Neu-Abonnenten erhalten jew. ein Heft mit 2 Webcam-Stickern per Post (das Porto übernehme ich).

Klingelt’s da?
Gutjahrs Freundinnen und Freunde bekommen eine Kameraabdeckung samt einer Postkarte mit der Aufschrift „Your Privacy has been deleted“, wenn sie ihre Postadresse über Email oder Snapchatalso sehr unsichere – Dienste übermitteln!
Paradox, oder?

  • Eine Email wird (wenn Sie nicht mit PGP verschlüsselt ist, was noch immer ziemlich kompliziert ist) in Klartext übertragen und z. T. sogar auf Inhalte gescannt – z. B. von Google, aber auch von den deutschen und US-Geheimdiensten.
    Damit ist sie ungefähr so sicher wie eine Postkarte.
  • Snapchat speichert diverse Daten des Absenders zu nicht genau erklärten Zwecken. Zudem ist die App nicht vor Hackern sicher.
  • Zuguterletzt gehört der Brief zum wohl unsichersten Kommunikationsmedium unserer Zeit. Nicht nur, weil täglich zigtausende Briefe verloren gehen (2004 schätzten Verbraucherschützer die Zahl auf 70.000) oder weil Briefsendungen gescannt werden und damit theoretisch hackbar sind – Das Scannen geschieht auf Wunsch des Kunden, internationale Post wird aber auch ohne dieses Einverständnis stichprobenartig gescannt („Mail Sampling Unit„, siehe Datenschutzbericht Peter Schaar, 2010-2011, ab S.183). Vor allem sind Briefe unsicher, weil der Briefinhalt nicht verschlüsselt ist, durch viele Hände geht und lange mehr oder weniger unbewacht herumliegt (Postschalter, Absendebriefkasten, Zustellfahrzeug, Zielbriefkasten).

Klar gibt es viele, die ihre Postadresse für nicht schützenswürdig halten. Aber zusammen mit den Metadaten, die zwangsläufig in einer Email mitgeschickt werden (eine tolle Demonstration hier) lässt sich viel über den Absender erfahren.Und Snapchat fällt als datenschutzsensibler Transportweg ohnehin weg.

Was bringt eine Aktion wie die von Richard Gutjahr also? PR-Punkte sicherlich, die ich dem Initiator der Aktion vollstens gönne – aber auch ein verzerrtes Bild der Datenschutz-Prioritäten. Immerhin wird der Fokus auf eine, sehr spezielle Datenschutzmaßnahme gelegt, während unsichere Kommunikationswege unkommentiert in die Aktion miteinbezogen werden.
Angesprochen auf diese Inkonsequenz bot mir Richard Gutjahr immerhin eine Alternative an, die ich schmunzelnd zur Kenntnis genommen habe:

Vielleicht findet er für eine sachliche Auseinandersetung mit meinen Argumenten den Weg auf diesen Blog.

V(iel) P(rivatsphäre) N(ötig)?

Ich sagte es bereits: In Hidemyass habe ich mich getäuscht. Britische Gerichte können die Identität von Nutzern des VPN-Dienstes aufdecken. Die Jahresgebühr, die ich gezahlt habe, ist wohl so etwas wie Lehrgeld. Ich hätte mich ja auch vorher genau informieren können.

Der VPN-Service VPNTunnel funktioniert anders. Das ist ein ehemals schwedischer, nun von den Seychellen aus betriebener Dienst. Das heißt, die Betreiber haben mit EU-Regelungen nichts zu tun – auch nicht mit Vorratsdatenspeicherung.

Konkret heißt das, so schrieb mir ein Mitarbeiter:

We don’t store any logs whatsoever, as our company is based outside the EU and we do not fall under mandatory data retention laws. All we store is our customers‘ usernames and email addresses. All the connection logs are stored on your computer for troubleshooting purposes, and we do not have access to them. 

Also: Sollte irgendein Gericht an die Firma herantreten und meine Daten haben wollen, könnten die Betreiber nur sagen, wer ihre Kunden sind – nicht, wer was wann gemacht hat. Das ist wirklich ziemlich anonym.

Es gibt viele Wege, eine über VPNTunnel gesicherte Verbindung herzustellen – mehrere Windowsprogramme, mehrere Möglichkeiten auch für mobile Geräte. Ich habe sogar meinen Router dazu gebracht, sämtliche über ihn laufende Verbindungen über die fremde IP laufen zu lassen. Die Geschwindigkeit bei deutschen, vor allem aber bei niederländischen Zugriffspunkten ist wirklich gut. Da einige Apps auf unserem Smart-TV jedoch eine deutsche IP brauchen, habe ich die Lösung mit dem Router verworfen und nutze die VPN-Verbindung nun einzeln auf meinem Notebook und meine Mobilgeräten.

Update 3 (19.11.): Vor Vorratsdatenspeicherung schützen

Der Bundestag hat gestern die Vorratsdatenspeicherung beschlossen. Diese von der EU verordnete umfassende Speicherung von Metadaten (Telefon- und Internetverbindungen samt Standort) ist in Deutschland lange umstritten, und auch jetzt sind Klagen zu erwarten. Viele Bürger sehen in dieser anlasslosen (nämlich grundsätzlichen) Speicherung von Verbindungsdaten einen Eingriff in ihre Bürgerrechte. Ich habe damit kein solch großes Problem, wie ich bereits schrieb. Dennoch marschiere ich als Kritiker der NSA-Überwachung gerne Seit‘ an Seit‘ mit anderen, die sich für informationelle Selbstbestimmung aussprechen.
Klar ist: Jedes Metadatum, das in meinen Händen bleibt oder gar nicht entsteht, ist ein gutes Metadatum. Deswegen empfehle ich den Artikel auf netzpolitik.org, der Tipps zur Vermeidung ebendieser gibt. In Stichpunkten:

  • statt SMS lieber Messenger benutzen
  • wenn möglich, am Smartphone Voice over IP-Apps nutzen
  • den Internetverkehr von Smartphone, Tablet und PC über einen VPN-Server leiten

Ein VPN-Dienst leitet den gesamten Internetverkehr zu einem anderen Internetserver, von dem aus dann die gewünschten Internetseiten und Dienste angesteuert werden. Heißt: Für Überwacher ist nur dieser, entfernte, Server als Quelle der Anfrage zu erkennen.
Ich habe gute Erfahrung mit dem Anbieter Hidemyass gemacht, der keine Surfgeschwindigkeit kostet [gelöscht: und – was im Blick auf neugierige natürlich wichtig ist – die Seitenanfragen nicht in meinem Account speichert.] Bzw.: bislang nicht hat. Ob er das im Zuge der Vorratsdatenspeicherung nicht auch muss, habe ich bei ihm, bei netzpolitik und dem Bundesjustizministerium angefragt. Ein Update folgt.

UPDATE:
Gestern hat Hide My Ass in Person von Bojan Dimitrovski, Amtsbezeichnung „Tech Support Maestro“, geantwortet. Er weist darauf hin, dass die VDS noch nicht in Kraft sei, weil viele Internetanbieter noch nicht die Speicherressourcen hätten. Und selbst wenn das der Fall sei, dürfte theoretisch nur ein britisches Gericht bei meinem (deutschen) Internetnabieter die Herausgabe der [anonymen! Was wollen sie damit?] Log-Daten anfordern [weil Hide My Ass ein britisches Unternehmen ist], und das könnten sie nicht [wohl wegen der Grenzen des nationalen Rechtsraums]. Ich bin nicht sicher, ob es nicht doch eine Art Amtshilfe gibt; unplausibel ist sine die Erklärung aber nicht. Leider sagt Herr Dimitrovski nicht, ob sich VPN-Anbieter selbst an der Vorratsdatenspeicherung beteiligen müssen.

UPDATE 2:
Das Justizministerium bestätigt, dass reine VPN-Anbieter von der VDS ausgenommen sind. Per Facebook schreibt die zuständige Redaktion:

Unabhängig von der jeweiligen Einstufung im Einzelfall (und den ansonsten noch angebotenen Diensten), werden REINE Anbieter von VPN-Diensten durch das Gesetz nicht verpflichtet, Verkehrsdaten zu speichern, da es sich dabei weder um Telefondienste noch um Internetzugangsdienste handelt.

UPDATE 3 (19.11.2015)
Ich muss mich korrigieren: Hyde My Ass ist kein sonderlich sicherer VPN-Anbieter. Er speichert sehr wohl meine Original-IP und den VPN-Server, an dem ich angemeldet bin. Und gibt die Daten im Zweifelsfall auch heraus, wenn britische Gerichte das verlangen.
Ein Mitarbeiter schrieb mir:

- a time stamp when you connect and disconnect to our VPN service;
- the amount data transmitted (upload and download) during your session;
- the IP address used by you to connect to our VPN; and
- the IP address of the individual VPN server used by you.

By comparing that data, persons that commit illegal activities can be located.

Just to be clear, we are obliged to respond only to valid UK court orders.

Natürlich können nicht nur Personen, die illegale Aktivitäten vornehmen, lokalisiert werden, sondern jeder. Damit ist die Anonymität dahin und Hide My Ass als Privatsphäreschützer ungeeignet. Im Folgebeitrag werde ich von einer Alternative schreiben.