Mein digitaler Umzug und “verzweifelter” Kampf gegen PRISM und XKeyscore

von Markus Henkel am 8. August 2013

PRISM, Tempora und jüngst auch XKeyscore lassen derzeit die Welt aufhorchen. Die weltweite Spionage und Vernetzung von US-Unternehmen ist erschreckend weit fortgeschritten. Die Bundesregierungen seit 2002 schweigen dazu. Doch was passiert eigentlich mit meinen Daten? Warum geben Google, Microsoft, Apple und Co. diese einfach ungefragt an die NSA weiter? Auch andersherum gibt der BND munter die Daten aus Deutschland weiter an die NSA. Und warum lasse ich mir das eigentlich noch bieten? Mein digitaler Umzug nach Island ist mittlerweile vollzogen, auch mobil. Den 200-Euro-Mehraufwand pro Jahr nehme ich dabei lächelnd in Kauf.

Was ist passiert? Vor einigen Wochen wurde bekannt, dass die USA und Großbritannien in der weltweit herrschenden Kommunikationsflut fischen gehen und sich so viele Daten wie möglich aus dem Strom angeln. Möglich machen das Tools wie PRISM, Tempora und zuletzt XKeyscore.

Hinter PRISM verbirgt sich ein sogenanntes Spähprogramm der NSA, das bereits seit 2007 im Einsatz ist. Es ermöglicht das Abgreifen von E-Mails, Fotos, Privatnachrichten und Chats im Allgemeinen. Hierbei erhält es unter anderem Hilfe von den US-Firmen Google, Microsoft, Facebook, Apple, Yahoo und Skype. Angeblich werden die gespeicherten Daten bis zu drei Tage vorgehalten um dann wahrscheinlich weiter auf US-Server der NSA geleitet zu werden. Der britische Bruder Tempora soll sogar noch gründlicher sein und spezifischere Eckdaten zu Personen zuordnen können. Der Knaller ist aber der Neuling XKeyscore.

XKeyscore und das Ende unserer Grundrechte

Das Tool, ebenfalls von der NSA, kann eigentlich alles abgreifen, was sich nicht verschlüsselt über die Datenautobahnen bewegt. Selbst verschlüsselte Kanäle können abgefangen werden – bisher aber nicht ausgelesen werden. Grundsätzlich geht es um Metadaten und deren Verbindungen. So verraten Metadaten alles über Menschen und ihr Verhalten – vorausgesetzt ich kann diese Daten auch auswerten. Die NSA kann es, zumindest im kleinen Rahmen. Daher sucht sie auch hauptsächlich mit XKeyscore nach auffälligen Mustern im Netz. Und auffällig ist im Netz jeder! Der verantwortliche Senator Ron Wyden ist sich sicher, dass die millionenfache Überwachung “nicht absichtlich abläuft”. “Es gibt Fälle, in denen sie vielleicht versehentlich sammeln, aber nicht mit Absicht.” Schon witzig.

Seit es drum. Der einzige aus Unternehmenssicht, der sich ein wenig wehrte, war Yahoo. Alle anderen gaben die Daten ohne zu zögern heraus. Dabei muss erwähnt werden, dass den Unternehmen in den USA auch die Hände gebunden sind. Nach Anordnungen des FISC haben sie keine andere Wahl. Ebenfalls erwähnenswert: Wer der NSA und CIA hilft, bekommt Geld oder andere Vergünstigungen. Wer etwas anderes behauptet, ist ein Lügner, basta. Die Bundesregierung, Google, Apple, Microsoft und Co. scheißen auf unser Grundrecht. Das muss uns einfach klar sein.

“Ich will nicht in einer Gesellschaft leben, die so etwas macht.”

(Edward Snowden, Anfang Juni 2013)

Grund für mich, meine digitale Hurerei mal zu überdenken. Obwohl beispielsweise Google tolle Dienste anbietet und für mich funktionell eindeutig der beste Cloud-Anbieter weltweit ist, wollte ich nach kurzer Überlegung eine digitale Veränderung. Diese habe ich nun umgesetzt – zumindest ein wenig. Einen kompletten Schutz gegen die NSA und anderen Geheimdiensten, auch hierzulande, gibt es leider nicht. Doch sollte man es denen zumindest etwas schwerer machen; seine Daten beispielsweise bei unterschiedlichen Anbietern auslagern.

Facebook, Gmail und andere Daten-Sammelbecken sollten meines Erachtens nicht ausschließlich gemieden werden. Aber eine gewisse Aufklärung, wie die Dienste funktionieren, wäre hilfreich – so, dass auch meine Mutter es versteht. Zudem sollten sie endlich selbst anfangen, die Regierung unter Druck zu setzen. Grundsätzlich verschlüsselte E-Mails sind für Google und Co. zum Beispiel verboten. Andererseits würde Google ein wichtiges Geschäftsfeld verlieren.

Google und die Sucht nach Daten

Und im Falle Google etwa sollte man sich seit 2012 ein wenig Gedanken machen, da die Suchmaschine seitdem sämtliche Daten personalisiert, womöglich ein hilfreiches Tool der NSA? Warum das Scannen und Erheben von Daten zulässig ist, weiß der Datenschutzbeauftragte Thilo Weichert: „Es gilt US-Recht. Faktisch gesehen, besteht somit kein Datenschutz. Wer also so fahrlässig ist, Google-Mail und Co. zu nutzen, weil alles kostenlos angeboten wird, muss wissen, dass er sich auf eine Datenkrake einlässt“, so der Datenschützer. Und was am 7. September 1998 in einer Garage begann, sucht heute noch akribischer nach neuen Daten-Kanälen, die den enormen Hunger der Suchmaschine nach Daten weiter stillen sollen. GooglePlus beispielsweise.

Das tückische ist meines Erachtens die Anmeldung der Suchmaschine. In der Praxis sieht es in etwa so aus: Nach erfolgreichem Login und E-Mails lesen, entscheidet der Nutzer noch etwas herumzusurfen, ohne sich auszuloggen. Fortan befinden er sich in einer neuen Situation, die für ihn nicht ersichtlich ist. Google schneidet nämlich fortan alles personalisiert mit. Das passiert seit Android in Massen auch auf mobilen Endgeräten. Und genau diese Datensätze werden auf Anfrage an die Geheimdienste weitergegeben. Letztere freuen sich einen Ast, da sie keine Superrechner anschmeißen müssen, um Verknüpfungen herzustellen. Google ist dabei aber leider nicht der einzige Anbieter, der so arbeitet. Microsoft, Apple und Amazon (und mindestens 100 andere) spielen ebenfalls datentechnisch in der ersten Liga. Dass der Datenschutz bei Google keine Rolle spielt, zeigen die Reaktionen auf die zuletzt geführten Androhungen aus Europa. Alleine die Strafen sind ein Witz.

Island, Datenschutz, Demokratie

Daher musste für mich eine digitale Veränderung her. Auf der Suche nach Datenschutz-konformen Anbietern kommt man heutzutage nicht mehr an Island vorbei. Sozusagen die Schweiz der digitalen Daten. Dort zelebriert nicht nur das Parlament eine richtige Demokratie, auch WikiLeaks-Gründer Assange schwört auf diese Insel. Bereits 2009 sprach sich Julian dafür aus, in Island einen Datenhafen zu errichten. Warum? Island ist speziell wegen seiner modernen Mediengesetzgebung, an der die Mitarbeiter von WikiLeaks beratend mitwirkten, ein für WikiLeaks attraktives Land (Quelle: Wikipedia). 2010 wurden die Weichen dafür gestellt. Also ab nach Island – E-Mail, Files sowie die Übertragung dahin sollten neu strukturiert werden. Auch mit dem Wissen, dass spezielle Dinge auch weiterhin den Behörden schutzlos ausgeliefert sind. Egal, mit irgendwas muss man ja beginnen.

E-Mail bei 1984

1984 Stóri bróðir hefur gætur á þér

Für meine E-Mails wählte ich den Hoster 1984, bei dem ebenfalls WikiLeaks einige Seiten abgelegt hat. Da die Seite auch in englischer Sprache vorliegt, war die Anmeldung innerhalb von fünf Minuten abgeschlossen. Die E-Mail stand samt Domain innerhalb von zehn Minuten. Um meine Ordner aus Google nach 1984 zu ziehen nutze ich einfach einen Client. Beide Accounts ließen sich so auf einen Bildschirm abbilden; jetzt nur noch die Ordner samt E-Mails von A nach B kopieren. Das Web-Interface von 1984 kann sich sehen lassen. Zum einen gibt es das Backend auch in deutscher Sprache, zum anderen darf der Nutzer eine Menge Einstellungen vornehmen. Daten werden laut Anbieter nicht herausgegeben – auch nicht auf Anfrage von staatlichen Behörden. Mit einigen Kontakten verschlüssele ich zusätzlich via PGP.

Files bei GreenQloud

GreenQloud Logo

Google Drive hat bis PRISM gute Dienste geleistet. Doch sind mir meine Kunden und ich mir selbst ein wenig mehr Privatsphäre wert. Auch hierfür wurde ich in Island fündig. GreenQloud wirbt sogar damit, dass die Server ausschließlich in Island stehen und das Unternehmen keiner Regierung untergeordnet sei. Zurzeit nutze ich noch die Testphase, doch bereits nach zwei Wochen bin ich überzeugt, meine Daten dort in der Cloud dauerhaft abzulegen. Die Bedienung ist einfach und vor allem sehr übersichtlich. Was besonders gefällt: Der Anbieter erlaubt die Verschlüsselung der Daten. Der Zugang per SFTP ist zudem nur über den API-Key und privaten Key möglich. Der persönliche Hauptzugang liegt verschlüsselt auf dem Server, dieser kann nur vom Nutzer eingesehen und sogar jeder Zeit geändert werden. Das Schlüsselpärchen an sich kann ich ebenfalls immer wieder neu erstellen. Ebenfalls erfreulich: Der Account ist von allen anderen Speichern getrennt.

VPN bei VPNTUNNEL

promo-krypterad-vpn-tjanst

Mittlerweile surfe ich ausschließlich per VPN. Hierfür habe ich mich für den schwedischen Anbieter VPNTUNNEL entschieden. Dank seines Standortes Schweden, lohnt sich ein Blick auf den IT-Zwerg. Dieser speichert nämlich ausschließlich außerhalb der schwedischen Staatsgrenze Logfiles, ansonsten nicht. In Schweden gibt es zwar ebenfalls die Vorratsdatenspeicherung, doch schwedische Unternehmen bilden derzeit ein Konsortium, welches sich bisher erfolgreich gegen die Herausgabe von Kundendaten wehrt. Der EU gefällt das wahrlich nicht. Gespeichert wird allerdings auf den Servern in Deutschland, Rumänien, Russland und den Niederlanden. Die Server in den USA hat man nach PRISM sogar abgezogen – Respekt. Was allerdings fehlt: Der Anbieter bietet keine eigene Software an. Der Nutzer kann entweder die freie Software Tunnelblick nutzen, die beim Download die Konfigurationsdatei bereits enthält, oder aber die wenigen Einstellungen manuell in den Netzwerkeinstellungen vornehmen. Wichtig: Unter Weitere Optionen in der VPN-Verbindung selbst auf weitere Optionen klicken und „Gesamten Verkehr über VPN-Verbindung senden“ aktivieren. Technisch werden alle denkbaren Devices unterstützt. iOS, OS X sowie Linux und Windows. Wer anstatt den vier Euro im Monat, sieben bezahlt, darf sogar über denselben Account gleichzeitig mit seinen mobilen Geräten ins Netz. Die Server sind Linux-Systeme. Aber Vorsicht: Wer verschlüsselt, macht sich verdächtig.

Mist, von Google komme ich “noch” nicht los

Kein Drive und keine E-Mails mehr bei der Suchmaschine. Ein gutes Gefühl. Dennoch, so ganz ohne Google geht es derzeit noch nicht. Zum einen benutze ich gerne mein Nexus 4, zum anderen nutze ich regelmäßig Google Hangout. Also habe ich derzeit noch einen separaten Account, über den ich die Video-Konferenzen zelebriere. Über diesen schreibe oder sende ich aber keine E-Mails. Auf einem anderen Google-Account lasse ich meine Kontakte noch abgespeichert liegen. Wer also eine Alternative zum Telefonbuch hat, welches nicht mit Google verknüpft ist, her damit. Auch andere Alternativen, Lösungen sind herzlich willkommen.

Ja, ich bin ein Typ, der radikale Veränderungen sucht. Dennoch, es handelt sich zunächst um einen persönlichen Test-Ballon, den ich in den nächsten Wochen fortlaufend anpassen werde. In Sachen Hangout suche ich derzeit nach einer bezahlbaren Alternative in Sachen Video-Konferenz – verschlüsselt versteht sich. TeamViewer aus Göppingen/Deutschland wäre so eine. Mit Lizenz würden die Online-Meetings verschlüsselt funktionieren. Aber auch mein Adressbuch wird noch Veränderungen wahrnehmen. Ach ja, die Veränderungen sind nicht wirklich kostenlos. Ich bezahle zirka 200 Euro im Jahr. Und wer weiß, vielleicht kicke ich Google und Co. ja doch noch völlig aus meinem digitalen Leben – verdient hätten sie es ja. Und für die Geheimdienste sollten VPN und PGP zunächst ausreichen.

Und, wie schützt ihr euch? Denkt ihr beispielsweise bereits drüber nach, den Anbieter zu wechseln? Oder ist euch die Debatte rund um PRISM und XKeyscore egal? Vielleicht ist meine Reaktion doch zu kritisch?

Teaser-Bild: Markus Henkel

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft