Dezentralisierung als Gegenmaßnahme

In „Die Probleme der Zentralisierung“ habe ich geschildert, welche Probleme ich in zentralisierten Infrastrukturen sehe. Ich möchte im Folgenden zeigen, wie Dezentralisierung diesen Problemen entgegenwirkt.

Noch einmal zur Klarstellung: Natürlich ist es wichtig, dass Zensur und Massenüberwachung gesetzlich verboten sind, aber das allein reicht nicht aus. Überwachung und Zensur müssen bereits durch das Wesen der Infrastruktur so stark wie möglich erschwert werden. Die gesetzlichen Rahmenbedingungen können sich ändern und in den letzten Jahren geht die Tendenz ganz klar in Richtung mehr Überwachung und Einschränkung von Informationen und Kommunikation. Besonders dann, wenn die politischen Garantien wegfallen, braucht eine Demokratie freie Kommunikation um zu überleben (oder ggf. neu aufzukeimen).

Wir brauchen dezentrale Systeme auf allen Ebenen – vom physikalischen Netzwerk bis hin zu Diensten im Web – um die im letzten Artikel beschriebenen Probleme zu vermeiden, oder zumindest abzumildern.

Schauen wir uns die Probleme noch einmal im Einzelnen an, und betrachten, wie dezentrale Systeme diesen entgegenwirken können:

1) Die Kommunikationsvorgänge sind abhängig von der Infrastruktur des Anbieters

Dezentrale Systeme besitzen keinen „Single point of failure“, dessen Ausfall das Gesamtsystem lahmlegen würde. Es gibt keine zentralen Abhängigkeiten. Ein Ausfall von Teilen des Systems kann das Gesamtsystem zwar ggf. beeinträchtigen, jedoch nicht zum Erliegen bringen, da die verbleibende Infrastruktur den Ausfall kompensieren kann. Eine Abschaltung durch Dritte, zum Beispiel den Staat, ist ebenfalls nicht möglich, sofern die Verteilung breit genug ist.

Beispiel aus der Praxis: Bei Peer-to-peer-Netzwerken gibt es keinen zentralen Anbieter, sondern alle Teilnehmer sind zugleich Konsumenten und Anbieter. Fällt ein Teilnehmer aus, verringert das ggf. den Datendurchsatz, aber beeinträchtigt das System ansonsten nicht.

2) Der Anbieter hat Einsicht in alle Kommunikationsvorgänge

Bei dezentralen Systemen gibt es keinen zentralen Anbieter mehr, der Einsicht in alle Kommunikationsvorgänge hätte. Grundsätzlich bleibt jedoch die Gefahr bestehen, dass die an der Herstellung der Kommunikationsverbindung und Übertragung der Daten beteiligten Teile der Infrastruktur (bzw. deren Besitzer) Daten abgreifen. Der Kommunikationsinhalt kann jedoch durch Verschlüsselung geschützt werden. Die Verbindungsdaten können ggf. verschleiert werden.

Beispiel aus der Praxis: Bei IRC gibt es keinen zentralen Anbieter, der alle Kommunikation einsehen könnte, jedoch kann jeder Server-Betreiber die Kommunikation auf seinem Server überwachen. Verschlüsselung ist möglich.

3) Der Anbieter bestimmt die Regeln der Kommunikation

In zentralen Systemen regelt der Anbieter das Zustandekommen der Kommunikation. Einerseits bietet dies das beschriebene Missbrauchspotential, andererseits ermöglicht der Anbieter durch seine Vermittlung aber auch die Kommunikation. Dezentrale Systeme entreißen dem Anbieter zwar die Macht, stellen die Teilnehmer aber gleichzeitig vor das Problem, die Kommunikation selbst aufbauen zu müssen. Eine Kommunikation über dezentrale Systeme ist daher nur möglich, wenn gemeinsame Konventionen und Standards eingehalten werden. Verschiedene dezentrale Systeme mit unterschiedlichen Standards, müssen Schnittstellen schaffen um ihre Teilnehmer miteinander zu verbinden.

Beispiel aus der Praxis: Bei Jabber gibt es keinen zentralen Anbieter, der Inhalte filtern oder Kommunikationsverbindungen zwischen einzelnen Teilnehmern unterbinden könnte. Damit die Teilnehmer kommunizieren können, müssen sich jedoch alle an das XMPP-Protokoll halten.

4) Der Anbieter kontrolliert die Kommunikation

Während ein zentraler Anbieter die Möglichkeit hat, Inhalte, Identitäten und ganze Kommunikationsvorgänge nach Belieben zu fälschen, gibt es in dezentralen Systemen niemanden mit solcher Macht. In dezentralen Systemen steigen dafür die Missbrauchsmöglichkeiten jedes einzelnen, da es z.B. keine zentrale Instanz gibt, die Identitäten verifiziert. Abhilfe kann hier jedoch Verschlüsselung und Signierung der Kommunikation auf Basis eines Web-of-Trust schaffen.

Beispiel aus der Praxis: Verschlüsselung und Signierung mit PGP

Fazit

Dezentrale Systeme sind ein wirksames Mittel gegen Überwachung und Zensur. Die Nachteile zentraler Systeme treten nicht auf, oder werden abgemildert. Gleichzeitig stellt uns die Unabhängigkeit von zentralen Anbietern vor neue Herausforderungen. Wie die Beispiele aus er Praxis zeigen, gibt es aber bereits Lösungen. Wir müssen nur noch gewillt sein, diese zu nutzen und weiterzuentwicklen.

Die Probleme der Zentralisierung

Welche Probleme und Gefahren bringt die Zentralisierung von Kommunikationsdiensten mit sich, die ich im letzten Blogartikel beanstandet habe? Ich erhebe mit der folgenden Aufstellung keinen Anspruch auf Vollständigkeit. Im Gegenteil freue ich mich über Ergänzungen in den Kommentaren. Ich möchte hier möglichst alle potentiellen Gefahren aufführen, unabhängig davon, wie realistisch sie uns derzeit aus politischer Sicht erscheinen mögen. Ich möchte eine Kommunikationsinfrastruktur, die ihrem Wesen nach bereits zensur- und überwachungsresistent ist. Denn gerade in Fällen, in denen der Rechtsstaat mir dies nicht mehr garantiert, bin ich auf eine funktionierende Kommunikationsinfrastruktur angewiesen. Wir müssen die Gefahren von zentralen Diensten also unabhängig von rechtsstaatlichen Garantien beleuchten.

1) Die Kommunikationsvorgänge sind abhängig von der Infrastruktur des Anbieters

Zentrale Dienste funktionieren nur, wenn der Anbieter des Dienstes Infrastruktur für diese bereitstellt. Die Kommunikationsvorgänge sind somit abhängig von der Infrastruktur dieses Anbieters. Die Infrastruktur kann gestört werden, oder ganz ausfallen. Ein Anbieter könnte auch insgesamt aufhören zu exisitieren oder sich entscheiden seinen Dienst einzustellen. Dann ist keine Kommunikation zwischen den Nutzern des Dienstes mehr möglich.

Beispiel aus der Praxis: Wenn twitter.com ausfällt, ist die Nutzung von Twitter nicht mehr möglich.

2) Der Anbieter hat Einsicht in alle Kommunikationsvorgänge

Ein zentraler Anbieter kann sowohl die Umstände der Kommunikation als auch deren Inhalt einsehen, speichern und auswerten. Da der Anbieter die Kommunikationsverbindung herstellt, weiß er mindestens, wer, wann mit wem in Kontakt steht. Die Einsicht in die Inhalte könnte man theoretisch durch Verschlüsselung unterbinden. Da der Anbieter jedoch auch die Regeln der Kommunikation bestimmt (siehe Punkt 3), ist es von dessen Willkür abhängig, ob Verschlüsselung möglich ist oder nicht. In der Praxis hat ein zentraler Anbieter daher auch immer Einsicht in die Kommunikationsinhalte, wenn er dies wünscht.

Beispiel aus der Praxis: Facebook-Nachrichten landen unverschlüsselt auf deren Servern und können prinzipiell mitgelesen werden (Wird vielleicht sogar gemacht, um passende Werbung einzublenden, weiß ich aber nicht sicher). Ver- und Entschlüsselung müsste außerhalb von Facebook vorgenommen werden, was natürlich kein Mensch macht.

3) Der Anbieter bestimmt die Regeln der Kommunikation

Bei zentralen Diensten bestimmt der Anbieter die Regeln, unter denen eine Kommunikationsverbindung zustanden kommen kann. Er legt fest, wer mit wem, wann und von wo in Verbindung treten kann. Er bestimmt auch, welche Kommunikationsmittel (Software, Geräte, …) dazu verwendet werden können. Darüber hinaus bestimmt er auch die Inhalte der Kommunikation. So könnten zum Beispiel Nachrichten die bestimmte Begriffe enthalten blockiert, und Verschlüsselung unterbunden werden.

Beispiel aus der Praxis: Die Nutzung von Voice-over-IP wird häufig von Mobilfunkanbietern unterbunden.

4) Der Anbieter kontrolliert die Kommunikation

Der Anbieter bestimmt jedoch nicht nur die Regeln der Kommunikation, sondern kontrolliert letztendlich den kompletten Kommunikationsvorgang. Er hat die Möglichkeit, Kommunikationsinhalte zu manipulieren, er kann Identitäten und sogar komplette Kommunikationsvorgänge fälschen.

Beispiel aus der Praxis: Das mittlerweile 10 Jahre alte, aber top-aktuelle Experiment „insert_coin“ von Alvar Freude und Dragan Espenschied, bei dem sie über einen zentralen Proxyserver Webseiteninhalte und E-Mail-Kommunikation manipulieren.

Zusammenfassung

Nachteile und Gefahren zentraler Kommunikationsdienste:

  1. Die Kommunikationsvorgänge sind abhängig von der Infrastruktur des Anbieters
    1. Technische Abhängigkeit von fremder Infrastruktur (kann ausfallen)
    2. Abschalten der Infrastruktur durch den Staat
    3. Der Anbieter kann insgesamt aufhören zu existieren
  2. Der Anbieter hat Einsicht in alle Kommunikationsvorgänge
    1. Den Inhalt der Kommunikation
    2. Die Umstände der Kommunikation
  3. Der Anbieter bestimmt die Regeln der Kommunikation
    1. Der Anbieter regelt das Zustandekommen der Kommunikation
      1. Wer mit wem
      2. Wann
      3. Wo
      4. Welches Kommunikationsmittel (z.B. Ausschluss fremder Clients, VoIP über Mobilfunk)
    2. Der Anbieter regelt den Inhalt der Kommunikation
      1. Filterung
      2. Verbot von Verschlüsselung
  4. Der Anbieter kontrolliert die gesamte Kommunikation
    1. Manipulation des Inhalts
    2. Fälschen von Identitäten
    3. Fälschen von Kommunikationsvorgängen

Fazit

Habe ich noch etwas übersehen? Ich freue mich über Feedback und Ergänzungen in den Kommentaren. Ich denke aber es sind jetzt schon mehr als genug Gründe, warum zentrale Dienste abzulehnen sind und über kurz oder lang dezentralisiert werden müssen. Auch wenn Anbieter heute vorgeben „nicht böse zu sein“, kann sich dies jederzeit ändern. Große Macht bring große Verantwortung heißt es – aber große Macht verleitet auch dazu, sie zu missbrauchen. Ich jedenfalls möchte nicht darauf vertrauen, dass zentrale Anbieter verantwortungsvoll mit ihrer Macht umgehen. Dafür gibt es schon jetzt zu viele Gegenbeispiele.

Was ist legitim im Cyberkrieg?

Derzeit laufen dDoS-Attacken unter anderem gegen http://mastercard.com und http://visa.com. Beide Websites sind dadurch im Moment nicht mehr erreichbar. Zu den Angriffen bekennt sich die „Operation Payback“, welche damit die Sperrung von Wikileaks vergelten möchte.

Im Netz fallen mir erste Diskussionen darüber auf,  ob diese Angriffe legitim sind. Ich halte diese Frage für sehr wichtig. Darüber hinaus müssen wir uns aber auch folgende Fragen stellen:

Das sind nur vier weitere wichtige Fragen, die mir spontan einfallen. Es gibt sicher noch einiges mehr zu klären, beim Thema „Was ist legitim im Cyberkrieg?“. Und ich denke wir müssen diese Fragen ganzheitlich behandeln und nicht voneinander abgetrennt.

Update: Ich sammle hier mal ein paar Meinungen. Wer noch was hat / findet, darf gerne in den Kommentaren darauf hinweisen:

Kandidatenwatch: Filtersysteme, Anonymisierungsdienste und politische Einflussnahme

Zu meiner Antwort zum Thema Inhaltsfilterung gab es Rückfragen:

Meine Frage:
Ihr Parteiprogramm, Inhaltsfilterung:
„Initiativen âEUR“ politischer wie technischer Natur âEUR“ zur Untergrabung
von Filtersystemen sind im Rahmen außenpolitischer Möglichkeiten zu
unterstützen.“

Wie gedenken Sie voannte Initiativen zu unterstützen, respektive
zuerst einmal zu initiieren? Wo liegt Ihre Akzeptanzschwelle zu
„Initiativen âEUR“ politischer wie technischer Natur“?

Ihre Anwort, Auszüge:

Als technische Initiative kann ich mir beispielsweise die Einrichtung > Proxy-Servern
alternativen DNS-Servern
Wer finanziert diese und übt die Kontrolle aus?

Meine Annahme lautet, dass es eine Initiative zur Untergrabung von Filtersystemen gibt, zum Beispiel in Form eines DNS-Servers. Die Kosten sind grundsätzlich von der Initiative zu tragen. Unser Parteiprogramm fordert nun aber genau eine Unterstützung solcher Initiativen, was für mich – neben der besagten ideellen Unterstützung – auch eine finanzielle Unterstützung bedeutet.

Die Kontrolle muss von der Öffentlichkeit ausgehen, d.h. weder die Initiative noch der Staat dürfen die Oberhand über die Funktionsweise der technischen Maßnahme erhalten. Am Beispiel DNS-Server hieße das, dass die korrekte Namensauflösung öffentlich nachprüfbar sein muss, bei Anonymisierungssoftware zum Beispiel, dass der Quellcode offen liegt.

Das Wissen um die Möglichkeit der Eintragung eines alternativen
DNS-Servers qualifiziert mittlerweise ja schon 20% der Internetnutzer in
Deutschland zu „schwer Pädokriminellen“.

Zumindest wenn es nach einer gewissen Ministerin geht, ja. Ich kann nur hoffen das solche Politiker zukünftig keine Stimmen mehr bekommen 😉

Entwicklung von Anonymisierungsdiensten
Brauchen wir diese nur im Rahmen von „außenpolitischen Möglichkeiten“?

Nein definitiv nicht. Ich habe mich in meiner Antwort lediglich auf die Außenpolitik bezogen da sich darauf die von Ihnen zitierte Stelle des Parteiprogramms richtet. Es ist für Demokratie und Meinungsfreiheit unerlässlich, dass man sich auch im Internet frei und unbeobachtet bewegen und äußern kann. Dazu zählt die Möglichkeit der Verschlüsselung und auch der Anonymisierung. Wobei die Anonymisierung in erster Linie durch Datensparsamkeit erreicht werden sollte. Anonymisierungdienste sehe ich dahingehend nur als Ergänzung um die Anonymität zu gewährleisten.

Wer finanziert diese und übt die Kontrolle aus?

Die Entwicklung neuer Anonymisierungsverfahren und darauf aufbauender Dienste kann und soll finanziell durch den Staat unterstützt werden. Durch den dezentralen Aufbau von Anonymisierungsnetzwerken gibt es keine zentrale Kontrollinstanz. Die Kosten sind für die einzelnen Betreiber gering, dennoch kann man auch hier über staatliche Förderung nachdenken.

Wie wollen Sie diese vor den Begehrlichkeiten von Behörden aller Art
schützen, (Tor)?

Begehrlichkeiten entstehen überall dort wo Daten anfallen. Gesetze wie die Vorratsdatenspeicherung die große Datenhalden bilden müssen weg, Daten dürfen nur dort gesammelt werden, wo es unbedingt erforderlich ist. Ein Anonymisierungsserver der keine Rückschlüsse auf Personendaten zulässt, weckt auch keine Begehrlichkeiten. Außer natürlich nach Gesetzen, diese Daten dann doch zu speichern. Da liegt es aber am Wähler, die richtigen Politiker zu wählen, die diesen Unsinn nicht mitmachen. Um vorzubeugen halte ich es aber auch für sinnvoll, das Recht auf Anonymität im Internet und ein allgemeines Kommunikationsgeheimnis gesetzlich festzuschreiben.

Ich hoffe ich konnte Ihre Frage damit zu Ihrer Zufriedenheit
beantworten..

Nein. Nicht wirklich.

Dann hoffentlich jetzt 🙂 Ansonsten wie gesagt, einfach Rückfragen stellen.

Nach meiner persönlichen Wahrnehmung bedarf es für eine Änderung von
politischen und sozialen Gegebenheiten mehr, als eine breite Zustimmung
bestimmter wohlgesonnener Bevölkerungsgruppen, wie z.B. die
Filesharer-Gemeinde, welche ja nicht unbedingt von altruistischen Motiven
geleitet wird (ich rede an dieser Stelle nicht den „Rechteinhabern“ das
Wort).

Wie gedenken Sie eine politische Teilhabe (Einflussnahme) zu erreichen,
jenseits von bits und bytes.

Ich bitte Sie um eine realistische Antwort.

Die Unterstützung für die Piratenpartei beschränkt sich nicht auf Filesharer. Es gibt auch genauso wenig eine „Filesharer-Gemeinde“ wie es
eine Gemeinde der Autofahrer oder der Vegetarier gibt. Die Unterstützung für die Piratenpartei (genauer: für unsere Ziele, denn darum geht es!) erstreckt sich über mehrere Bevölkerungsgruppen. Die größte Zustimmung finden wir natürlich bei jungen Menschen, die im Umgang mit Technik und insbesondere dem Internet vertraut sind sowie bei Informatikern und anderen technikaffinen Berufsgruppen. Jedoch merke ich selbst, als jemand der regelmäßig an Infoständen teilnimmt und so mit den unterschiedlichsten Leuten auf der Straße in Kontakt kommt, dass auch andere Menschen aufgeschlossen gegenüber unseren Zielen sind, wenn man es ruhig und sachlich erklärt. Größtes Problem ist es derzeit diese Leute großflächig zu erreichen, dazu fehlt es unserer jungen Partei noch an Zeit, Geld und „Personal“. Ich bin jedoch in Anbetracht unseres stetigen Wachstums optimistisch, dass sich dies weiter verbessern wird.

Es ist utopisch innerhalb kurzer Zeit eine politische Veränderung herbeizuführen. Mit jeder einzelnen Stimme für die Piratenpartei, erhöht sich aber der Druck auf die etablierten Parteien sich mit unseren Zielen zu befassen. Derzeit sieht es sogar danach aus, dass die Piratenpartei Schweden einen Sitz im Europaparlament erringt (5,1% laut einer aktuellen Umfrage). Das ist wenig um politisch Einfluss zu nehmen, ermöglicht uns aber immerhin Themen auf die politische Tagesordnung zu bringen die ansonsten wenig Beachtung finden. Es ist ein Anfang.

Im übrigen war ich von Ihrer Antwort zu meiner 1. Frage angenehm
überrascht, hatte mehr mit leeren Worthülsen gerechnet.

Die Worthülsen waren leider ausverkauft, die anderen Parteien haben sich die alle schon unter den Nagel gerissen 😉

Kandidatenwatch: Untergrabung von Filtersystemen

Kandidatenwatch.de ist eine Plattform, die es den Wählern und allen Interessierten ermöglicht, vor der Wahl Fragen an die Kandidaten zu richten.

Als Listenkandidat der Piratenpartei bin auch ich dabei. Bitte nutzt die Gelegenheit, mir und den anderen Kandidaten der Piratenpartei Fragen zu stellen. Es schadet auch nichts den Internetausdruckern die ein oder andere kritische Frage zu Netzpolitik, Datenschutz und Bürgerrechten zu stellen.

Ich werde die mir gestellten Fragen und meine Antworten auch hier veröffentlichen. Die erste gibt es schon, es geht um die Untergrabung von Filtersystemen:

Ihr Parteiprogramm, Inhaltsfilterung:
„Initiativen âEUR“ politischer wie technischer Natur âEUR“ zur Untergrabung von Filtersystemen sind im Rahmen außenpolitischer Möglichkeiten zu unterstützen.“

Wie gedenken Sie vorgenannte Initiven zu unterstützen, respektive zuerst einmal zu initiieren?
Wo liegt Ihre Akzeptanzschwelle zu „Initiativen âEUR“ politischer wie technischer Natur“?

Der zitierte Abschnitt aus dem Parteiprogramm bezieht sich auf ausländische Filtersysteme, wie zum Beispiel in China. Es reicht nicht, dass Demokratien lediglich mit dem mahnenden Zeigefinger auf Staaten zeigen, die das Internet filtern und zensieren. Den Menschen die unter der Unterdrückung ihrer Meinungs- und Kommunikationsfreiheit leiden, muss aktiv geholfen werden. Ein freier Informationsaustausch mit Freunden und Bekannten anderer Staaten liegt auch im Interesse der europäischen Bevölkerung. Eine Behinderung dieser Kommunikation dürfen wir nicht akzeptieren. Auf keinen Fall dürfen europäische Unternehmen die Zensurbestrebungen totalitärer Staaten unterstützen!

Unser Parteiprogramm unterscheidet zwischen technischen und politischen Initiativen um die Kommunikationsfreiheit zu gewährleisten. Eine politische Initiative könnte zum Beispiel eine Aufklärungskampagne im Web sein, die den Betroffenen erklärt, wie sie die Filter umgehen können. Oft ist dies nämlich ganz einfach möglich und nach einer kurzen Erklärung auch für Laien durchführbar. Eine solche Initiative kann durch die EU zum einen finanziell unterstützt werden, für wichtiger halte ich aber sogar die ideelle Unterstützung. Denn die Chance ist hoch, dass die Kampagnen ebenso im Filter landen, wie andere unerwünschte Inhalte. Indem die EU eine solche Initiative offiziell unterstützt, erhöht sie den außenpolitischen Druck auf die filternden Staaten. Ich schätze die Hemmschwelle, eine offizielle EU-Seite zu sperren, als deutlich höher ein, als bei einer x-beliebigen Initiativenseite, insbesondere wenn die EU sich international und medienwirksam für diese Initiativen stark macht.

Als technische Initiative kann ich mir beispielsweise die Einrichtung von Proxy-Servern, alternativen DNS-Servern und VPN-Netzwerken oder die Entwicklung von Anonymisierungsdiensten im Rahmen eines Hochschulprojektes vorstellen. An der Universität Toronto zum Beispiel, wurde die Software „Psiphon“ speziell zur Umgehung von Zensur- und Filtersytemen entwickelt. Es ist wichtig, dass Maßnahmen zur Umgehung von Zensur stetig weiterentwickelt und verbessert werden. Auch diesbezüglich halte ich die finanzielle und ideelle Unterstützung durch die EU und ihre Mitgliedsstaaten für sehr wichtig.

Die Untergrabung von Filtersystemen darf in meinen Augen jedoch keinen Angriff auf die technische Infrastruktur von anderen Staaten bedeuten. Ich halte lediglich reine Umgehungsmaßnahmen für rechtmäßig und unterstützenswert.

Ich hoffe ich konnte Ihre Frage damit zu Ihrer Zufriedenheit beantworten. Zögern Sie nicht, bei Bedarf Rückfragen zu stellen.