Mein persönlicher PRISM break – eine erste Zwischenbilanz

Q: Why should people care about surveillance?

A: Because even if you’re not doing anything wrong, you’re watched and recorded. (…) You don’t have to have done anything wrong, you simply have to have eventually fall under suspicion from somebody even by a wrong call. And then they can use the system and go back in time and scrutinize any decision you have ever made, every friend you have ever something discussed ever with and attack you on that basis to derive suspicion from an innocent life and paint anyone in the context of a wrongdoer. ”

Edward Snowden, Juni 2013

 Ich gebe es zu: Ich war naiv, und ich war vor allem bequem. Um den Schutz meiner digitalen Privatsphäre habe ich mir bis Anfang Juni 2013 kaum Gedanken gemacht. Gmail, Facebook, Google Drive, Chrome, Dropbox – all diese Dienste nutzte ich täglich.

Dass diese Unternehmen meine Daten für kommerzielle Zwecke nutzen, war mir klar. Ich dachte aber: Das Schlimmste, was passieren kann, ist doch nur, das jemand versucht, mir etwas zu verkaufen.

Die Enthüllungen von Edward Snowden über die Totalüberwachung des Internets durch amerikanische und britische Geheimdienste haben mich entsetzt – und zum Umdenken bewogen. Wahrscheinlich kann man dem Datenschleppnetz der NSA nicht vollständig entkommen. Aber ich habe mich entschlossen, es der digitalen Stasi so schwer wie möglich zu machen. Einerseits aus Prinzip. Andererseits, weil ich als Wirtschaftsjournalist mit vertraulichen Quellen zu tun habe, deren Identität ich schützen muss.

Hinzu kommt: Die Vorstellung, dass rechschaffende Bürger die Überwachung durch den Staat nicht zu fürchten brauchen, wird auch durch ein krasses Beispiel aus Großbritannien entkräftet: Jüngst kam ans Licht, dass die Londoner Polizei vor rund 20 Jahren versucht hat, belastendes Material gegen die Familie eines Mordopfers zu finden, die die Ermittlungen der Polizei kritisierten. Wer in solch einen Vorgang gerät, muss in Zukunft damit rechnen, dass die Behörden sein gesamtes bisheriges Leben rückwirkend vollständig durchleuchten könnten. Irgendetwas, mit dem man eine Person diskredittieren oder erpressen kann, wird sich sicherlich bei fast jedem finden.

Seit den ersten Enthüllungen des “Guardian” Anfang Juni habe ich daher versucht, meinen Überwachern Steine in den Weg zu legen.

Browser, Cloud-Dienste

Ein einfacher, banaler Schritt. Statt Google Chrome nutze ich jetzt Firefox. Die Privatspähre-Einstellungen habe ich so geändert, dass Cookies gelöscht werden, wenn ich den Browser schließe. Das ist anfangs etwas lästig, weil man sich bei jeder Webseite immer wieder neu anmelden muss. Aber daran gewöhnt man sich relativ schnell.

Beim Cloud-Dienst Google Docs/Google Drive, den ich bislang gerne benutzt habe, habe ich alle privaten Dokumente gelöscht – bis auf ein paar Excel-Dateien, die ich öffentlich sichtbar haben möchte, vor allem meine Statistiken über Fahrradunfälle in London. Mein Dropbox-Account habe ich gelöscht.

Email

Ein weiterer relativ simpler und naheliegender Schritt: Ich habe Googlemail den Rücken gekehrt. Bei der Suche nach einem Email-Dienstleister, der meine Daten nicht für Marketing-Zwecke ausnutzt, bin ich auf Swissmail.org gestoßen. Dort muss man für ein E-Mail-Account bezahlen. Ein Profi-Account mit einem Gigabyte Speicher kostet 77 Euro im Jahr.

Die Synchronisierung mit dem Apple-Email-Programm und dem iPad/iPhone funktioniert reibungslos. Allerdings hat Swissmail im Vergleich zu Gmail auch einige handfeste Nachteile: Die Webmail-Oberfläche wirkt wie aus der Zeit gefallen. Man unternimmt eine Zeitreise in die späten neunziger Jahre.

 Kalender, Adressbuch

Wirklich Kopfzerbrechen hat mir eine andere Einschränkung von Swissmail beschert: Man kann zwar die E-Mails, nicht aber das Adressbuch und den Kalender mit anderen Endgeräten synchronisieren. Ich hatte mich aber auch dabei bislang voll auf Google verlassen.

 Eine synchronisierbare, europäische Alternative für Adressbuch und Kalender zu finden, ist  nicht  einfach. Ich habe mit Zoho experimentiert. Das Unternehmen bietet einen kostenlosen Kalender an, den man mit iOS-Endgeräten synchronisieren kann, leider aber nicht mit mit iCal auf dem MacBook. Außerdem ist auch Zoho eine amerikanische Firma, so dass man damit rechnen muss, dass die NSA Zugang zu den Daten hat oder leicht bekommen kann.

Für meinen digitalen Kalender nutze ich nun mein berufliches E-Mail-Account von Thomson Reuters, das über einen Microsoft-Exchange-Server betrieben wird. Ich kann es – nach einigen Kämpfen mit der internen Reuters-IT-Bürokratie – mit iPhone und iPad synchronisieren, leider aber nicht mit iCal auf meinem privaten MacBook.

 Im Zweifel kann die NSA sicherlich auch meinen Kalender bei Thomson Reuters anzapfen und einsehen, wie der Skandal über die Überwachung der Nachrichtenagentur AP durch die Obama-Regierung zeigt. Aber vielleicht ist die Hemmschwelle ein bisschen größer als bei einem Google-Account.

Mit meinem Adressbuch bin ich ebenfalls von Googlemail zu Thomson Reuters umgezogen. Leider bekomme ich es bislang technisch nicht hin, dass iPhone/iPad eine lokale Kopie meiner Kontakte speichern. Zähneknirschend – und hoffentlich nur vorübergehend – nutze ich dafür derzeit Apples iCould. Damit hat die NSA weiter Zugriff auf die Daten, nicht aber die Datenkrake Google.

Ein weiterer Nachteil dieser Lösung ist, dass ich jetzt zwei verschiedene Versionen des Adressbuchs habe – eine auf dem Thomson Reuters Server, eine in der iCloud. Ich suche noch nach einer besseren Lösung (vielleicht die gute, alte Synchronisation vom Computer über Kabel?), und bin für Tipps dankbar.

Update: Outlook synchronisiert jetzt auch meine persönlichen Kontakte, also: iCloud adieu! Eine gute Alternative zu Swissmail scheint Posteo.de zu sein, die für nur 12 EUro im Jahr ein 2-GB-Account anbieten, inklusive voller Synchronisation von Adressbuch und Kalender auf mobile Endgeräde und auch Kalender-Programme wie iCal.

 Anonymes Surfen im Internet

Was mir erst durch Snowdens Enthüllungen bewusst wurde, ist die Macht der Meta-Daten. Die Informationen, wer wann mit wem kommuniziert hat, ist mindestens genauso wichtig, wenn nicht wichtiger, wie der Inhalt, wie dieser Blogpost am Beispiel des US-Freiheitskämpfers Paul Revere vor Augen führt.

 Ein beeindruckendes Beispiel ist der Fall des ehemaligen CIA-Chefs Petraeus, dessen Affäre mit der US-Journalistin Paula Broadwell das FBI anhand von Meta-Daten aufdeckte, wie der “New Scientist” berichtet:

“The country’s top intelligence officer was betrayed by metadata, seemingly anonymous recordings that internet companies make of when and where someone logged into an email account, a Facebook profile or the like. While the FBI was monitoring an email account that was reportedly the source of some harassing emails, it found a series of IP addresses recorded when a user logged in from hotel Wi-Fi networks. By cross-referencing those logins with hotel guest lists, the agency ascertained that Broadwell was the only one who could have logged in. A second account, in which Broadwell and Petraeus corresponded about their affair by saving messages in the ‘drafts’ folder, was also linked to Broadwell in this way.”

Broadwell wäre möglicherweise nicht aufgeflogen, wenn sie ein Virtual Private Network (VPN) benutzt hätte. Das ist eine Technik, die unter anderem Internet-Nutzer in Ländern wie China und dem Iran benutzen, um Sperren und Überwachung zu umgehen. Statt sich direkt mit einer Webseite zu verbinden, geht man bei einem VPN eine Art Umweg: Man baut eine verschlüsselte Verbindung zu einem VPN-Server auf, der dann die Anfrage verschlüsselt weiterleitet. So kann man seine IP-Adresse und seinen tatsächlichen Standort verschleiern.

Ich bin seit einigen Wochen Kunde bei Boleh VPN,  einem VPN-Dienstleister in Malaysia. Das Unternehmen wirbt damit, dass es keinerlei IP-Logs von seinen Kunden aufzeichnet.

Das Jahres-Abo kostet 85 US-Dollar. Die Installation auf dem Macbook und auch bei iPhone/iPad ist relativ einfach, und das VPN funktioniert die meiste Zeit sehr gut. (Gelegentlich gibt es Störungen. Dann kann ich nur aufs Netz zugreifen, wenn ich das VPN ausschalte.) Einen spürbaren Geschwindigkeitsnachteil kann ich nicht feststellen. Derzeit surfe ich mit einer niederländischen IP-Adresse, vorher mit einer kanadischen und davor mit einer aus Luxemburg.

 Unabhängig von staatlicher Überwachung bietet die Nutzung eines VPN noch ein paar weitere Vorteile:

  •  Man kann länderspezifische Sperren bei Youtube oder auch bei Sportübertragungen umgehen.
  •  Das Tracking durch Google dürfte deutlich erschwert sein – vorausgesetzt, man ist nicht in sein Google-Account eingeloggt und hat den Browser so eingestellt, dass Cookies nach jeder Sitzung gelöscht werden.
  • Man kann sich bei der Nutzung von W-Lans im öffentlichen Raum gegen das Ausspähen der eigenen Daten durch die W-Lan-Betreiber schützen.

 Einen Haken hat die Nutzung eines VPN allerdings: Dem VPN-Anbieter muss man vertrauen. Sollte dieser die Daten doch an Geheimdienste weiterleiten oder für andere Zwecke missbrauchen, ist man genausoweit wie vorher.

 E-Mail-Verschlüsselung

Der ultimative Schritt, um seine Daten zu schützen. Ich bin mit langen Zähnen an die Sache herangegangen, weil ich die Installation für ziemlich schwierig gehalten habe. Tatsächlich ist es unter dem Strich einfacher, als ich gedacht habe. Ich habe mir auf dem MacBook das Hilfsprogramm GPGtools installiert, das mit dem Apple-Email-Client zusammenarbeitet. Das generieren des privaten und öffentlichen Schlüssels war kein großes Problem, und meinen öffentlichen Schlüssel habe ich auch auf einen Keyserver hochgeladen. (Eine recht gute Anleitung für Windows-Rechner hat Spiegel Online parat.)

 Etwas lästig ist, dass man nur an die Leute eine verschlüsselte Email verschicken kann, deren öffentlichen Schlüssel man kennt. In meinem erweiterten Bekanntenkreis befindet sich bislang genau eine Person, von der ich weiß, dass diese zur Email-Verschlüsselung in der Lage ist. (Die ID meines öffentlichen Schlüssels ist 3C34AE9940E59461, man kann sie gängigen Key Servern herunterladen.)

Lästig ist ebenfalls, dass man verschlüsselte Emails offenbar nur mit einem Email-Client lesen kann – wenn man von unterwegs über Webmail darauf zugreifen will, kann man die Emails nicht öffnen. Auch die schnelle Suche in verschlüsselten Emails ist nicht möglich (oder ich weiß zumindest nicht, wie sie funktioniert).

Für das iPad habe ich mir eine App heruntergeladen, mit der ich ebenfalls verschlüsseln und entschlüsseln kann. Aber diese App ist nicht in den E-Mail-Client integriert, man muss die verschlüsselte Botschaft erst über die Zwischenablage in das Programm importieren – auch nicht gerade bequem.

Offene Flanken

Im Internet ist meine größte offene Flanke Facebook. Ich könnte mein Account löschen, und mein Leben ginge weiter. Ich möchte aber aus zwei Gründen nicht auf Facebook verzichten: Einerseits wegen der Kommunikation mit meinem erweiterten Bekanntenkreis. Enge Freundschaften könnte ich auch ohne Facebook pflegen. Der Dienst ist aber ideal dafür, um mit Leuten, die man sonst nur einmal im Monat oder seltener sieht – zum Beispiel viele meiner Fahrradfreunde und auch die Leute aus meinem Schalke-Fanclub – in Kontakt zu bleiben.

Außerdem nutze ich Facebook auch beruflich, um meine Texte zu verbreiten und als Journalist in Deutschland im Gespräch zu bleiben. Durch die Nutzung des VPN reduziert sich die Spur meiner Meta-Daten vielleicht ein bisschen – und ich bin, was das Posten eigener privater Inhalte betrifft, etwas zurückhaltender geworden

 Eine weitere offene Flanke ist Google selbst. Zur Suchmaschine habe ich bislang keine wirklich brauchbare Alternative gefunden – ich habe Duckduckgo und Ixquick getestet, bin aber nicht überzeugt davon. Auch Google Maps nutze ich weiterhin. Openstreetmap kommt leider, was die Routing- und Suchfunktionen betrifft, bei weitem nicht an Google Maps heran.

Die zweite große, offene Flanke ist natürlich das Handy. Offenbar muss man ja davon ausgehen, dass Gesprächsdaten von den Geheimdiensten gespeichert werden. Es würde mich auch nicht mehr wundern, wenn die Bewegungsprofile jedes Nutzers automatisch von der digitalen Stasi erfasst werden. Kann man sich dagegen als einzelner Nutzer irgendwie wehren? Ich glaube kaum.

Einen weiteres Problem ist das bargeldlose Bezahlen. Angesichts der Daten-Sammelwut der Geheimdienste kann ich mir kaum vorstellen, dass nicht auch die Informationen von amerikanischen Kreditkartenfirmen wie Visa und Mastercard von der NSA gesammelt und mit den Telefon- und Internet-Daten zusammenfügt werden.  Wenn man es ernst meint mit der digitalen Spurenverwischung, dann sollte man eigentlich auch möglichst nur noch mit Bargeld bezahlen….

Fazit

Es ist möglich, seine Datenspuren im Netz zumindest zu minimieren – wenn man bereit ist, ein bisschen was dafür zu bezahlen und gleichzeitig einige Abstriche in Sachen Bequemlichkeit in Kauf zu nehmen. Dass man dabei unter anderem Tools benutzen muss, die bislang vor allem für Dissidenten in China und dem Iran zum Alltag gehörten, sagt viel aus über die Gesellschaft, in der wir leben. Mit einer freiheitlichen Gesellschaft hat das meiner Meinung nach nur noch am Rande zu tun.

Ist all das paranoid? Ich glaube nicht. Daniel Ellsberg hat in einem Gastbeitrag für den Guardian das zentrale Argument geliefert.

“Obviously, the United States is not now a police state. But given the extent of this invasion of people’s privacy, we do have the full electronic and legislative infrastructure of such a state. If, for instance, there was now a war that led to a large-scale anti-war movement – like the one we had against the war in Vietnam – or, more likely, if we suffered one more attack on the scale of 9/11, I fear for our democracy. These powers are extremely dangerous.”

Anhang:

Hier ist übrigens mein öffentlicher PGP-Schlüssel. Ich freue mich über jede verschlüsselte Email an olaf dot storbeck at generalmail dot com.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG/MacGPG2 v2.0.19 (Darwin)
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=5AK5
-----END PGP PUBLIC KEY BLOCK-----

5 Kommentare

Veröffentlicht in Allgemein

5 Kommentare zu Mein persönlicher PRISM break – eine erste Zwischenbilanz

  1. Fabian

    Als Mail-Anbieter ist posteo.de empfehlenswert, 2GB Speicherplatz, 1€/Monat, Ökostrom, anonyme Bezahlung, Zentralverschlüsselung, Verschlüsselung sowie Synchronisierung von Kalender und Adressbuch mit allen Endgeräten.

    Freundliche Grüße

  2. Fritz

    Für hohe Bundesbeamte und andere Leute, bei denen es am Geld nicht mangelt, gibt es jetzt auch eine elegante Smartphone-Solution von “Secumart”. Erhältlich im nicht öffentlichen Kaufhaus des Bundes (www.kdb.bund.de) oder direkt beim Hersteller für an die 3.000 Euro. Es handelt sich um ein Blackberry Z10 mit einer auf einer Micro-SD-Karte installierten Software “Secusuite”. Das Gerät können damit parallel einen “normalen” und einen verschlüsselten Bereich nutzen. Im sicheren Bereich authentifizieren sie sich, Daten werden per Ende-zu-Ende-Verschlüsselung verschickt. Blackberry hat das Betriebssystem extra für Secusmart geöffnet. Die Daten laufen nicht über einen Server von Blackberry. “Das war zwingende Voraussetzung, um vom Bundesamt für Sicherheit in der Informationstechnik als empfehlenswert eingestuft zu werden.” Es sollen bereits 10.000 Stück aus fast allen Ministerien bestellt worden sein. Merkel hat für das Z10 von Secusmart schon im März auf der Cebit reges Interesse gezeigt: https://www.youtube.com/watch?v=aHiNEnSRoW4&feature=player_embedded Könnte gut sein, das dieses Hochsicherheits Z10 bald zum endgültigen Statussymbol unter Managern und Gutverdienern aufsteigt.

  3. Für Google-Abhängige ist die “Alternative” eindeutig Startpage.com.

  4. Thomas Kuhn

    Lieber Olaf,
    um mit deinem Telefonverhalten ausgeforscht zu werden, braucht es weder Prism noch Obama. Das konnte auch die Deutsche Telekom vor ein paar Jahren schon so gut genug.
    Gruß
    Thomas

  5. Xenofon

    Herr Storbeck,

    noch einige Tipps von meiner persönlichen Praxis:
    - Zimbra mail, gehostet von einem kleinen deutschen Unternehmen EFM; kann man in Thunderbird einbinden und mit PGP seine emails verschlüsseln
    - Keepass + Keefox: das Passwort-Safe und das Firefox plugin, mit dem Sie KEINE Passwörter in Firefox speichern (unsicher), und dennoch die bequeme Funktion der Befüllung der Anmeldungsfelder mit Usernamen und Passwort haben.
    Und… ich sehe die USB-sticks mit Macht wieder zurückkehren!

Hinterlassen Sie einen Kommentar zu Xenofon Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Sie können folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>