Die Probleme der Zentralisierung

Welche Probleme und Gefahren bringt die Zentralisierung von Kommunikationsdiensten mit sich, die ich im letzten Blogartikel beanstandet habe? Ich erhebe mit der folgenden Aufstellung keinen Anspruch auf Vollständigkeit. Im Gegenteil freue ich mich über Ergänzungen in den Kommentaren. Ich möchte hier möglichst alle potentiellen Gefahren aufführen, unabhängig davon, wie realistisch sie uns derzeit aus politischer Sicht erscheinen mögen. Ich möchte eine Kommunikationsinfrastruktur, die ihrem Wesen nach bereits zensur- und überwachungsresistent ist. Denn gerade in Fällen, in denen der Rechtsstaat mir dies nicht mehr garantiert, bin ich auf eine funktionierende Kommunikationsinfrastruktur angewiesen. Wir müssen die Gefahren von zentralen Diensten also unabhängig von rechtsstaatlichen Garantien beleuchten.

1) Die Kommunikationsvorgänge sind abhängig von der Infrastruktur des Anbieters

Zentrale Dienste funktionieren nur, wenn der Anbieter des Dienstes Infrastruktur für diese bereitstellt. Die Kommunikationsvorgänge sind somit abhängig von der Infrastruktur dieses Anbieters. Die Infrastruktur kann gestört werden, oder ganz ausfallen. Ein Anbieter könnte auch insgesamt aufhören zu exisitieren oder sich entscheiden seinen Dienst einzustellen. Dann ist keine Kommunikation zwischen den Nutzern des Dienstes mehr möglich.

Beispiel aus der Praxis: Wenn twitter.com ausfällt, ist die Nutzung von Twitter nicht mehr möglich.

2) Der Anbieter hat Einsicht in alle Kommunikationsvorgänge

Ein zentraler Anbieter kann sowohl die Umstände der Kommunikation als auch deren Inhalt einsehen, speichern und auswerten. Da der Anbieter die Kommunikationsverbindung herstellt, weiß er mindestens, wer, wann mit wem in Kontakt steht. Die Einsicht in die Inhalte könnte man theoretisch durch Verschlüsselung unterbinden. Da der Anbieter jedoch auch die Regeln der Kommunikation bestimmt (siehe Punkt 3), ist es von dessen Willkür abhängig, ob Verschlüsselung möglich ist oder nicht. In der Praxis hat ein zentraler Anbieter daher auch immer Einsicht in die Kommunikationsinhalte, wenn er dies wünscht.

Beispiel aus der Praxis: Facebook-Nachrichten landen unverschlüsselt auf deren Servern und können prinzipiell mitgelesen werden (Wird vielleicht sogar gemacht, um passende Werbung einzublenden, weiß ich aber nicht sicher). Ver- und Entschlüsselung müsste außerhalb von Facebook vorgenommen werden, was natürlich kein Mensch macht.

3) Der Anbieter bestimmt die Regeln der Kommunikation

Bei zentralen Diensten bestimmt der Anbieter die Regeln, unter denen eine Kommunikationsverbindung zustanden kommen kann. Er legt fest, wer mit wem, wann und von wo in Verbindung treten kann. Er bestimmt auch, welche Kommunikationsmittel (Software, Geräte, …) dazu verwendet werden können. Darüber hinaus bestimmt er auch die Inhalte der Kommunikation. So könnten zum Beispiel Nachrichten die bestimmte Begriffe enthalten blockiert, und Verschlüsselung unterbunden werden.

Beispiel aus der Praxis: Die Nutzung von Voice-over-IP wird häufig von Mobilfunkanbietern unterbunden.

4) Der Anbieter kontrolliert die Kommunikation

Der Anbieter bestimmt jedoch nicht nur die Regeln der Kommunikation, sondern kontrolliert letztendlich den kompletten Kommunikationsvorgang. Er hat die Möglichkeit, Kommunikationsinhalte zu manipulieren, er kann Identitäten und sogar komplette Kommunikationsvorgänge fälschen.

Beispiel aus der Praxis: Das mittlerweile 10 Jahre alte, aber top-aktuelle Experiment „insert_coin“ von Alvar Freude und Dragan Espenschied, bei dem sie über einen zentralen Proxyserver Webseiteninhalte und E-Mail-Kommunikation manipulieren.

Zusammenfassung

Nachteile und Gefahren zentraler Kommunikationsdienste:

  1. Die Kommunikationsvorgänge sind abhängig von der Infrastruktur des Anbieters
    1. Technische Abhängigkeit von fremder Infrastruktur (kann ausfallen)
    2. Abschalten der Infrastruktur durch den Staat
    3. Der Anbieter kann insgesamt aufhören zu existieren
  2. Der Anbieter hat Einsicht in alle Kommunikationsvorgänge
    1. Den Inhalt der Kommunikation
    2. Die Umstände der Kommunikation
  3. Der Anbieter bestimmt die Regeln der Kommunikation
    1. Der Anbieter regelt das Zustandekommen der Kommunikation
      1. Wer mit wem
      2. Wann
      3. Wo
      4. Welches Kommunikationsmittel (z.B. Ausschluss fremder Clients, VoIP über Mobilfunk)
    2. Der Anbieter regelt den Inhalt der Kommunikation
      1. Filterung
      2. Verbot von Verschlüsselung
  4. Der Anbieter kontrolliert die gesamte Kommunikation
    1. Manipulation des Inhalts
    2. Fälschen von Identitäten
    3. Fälschen von Kommunikationsvorgängen

Fazit

Habe ich noch etwas übersehen? Ich freue mich über Feedback und Ergänzungen in den Kommentaren. Ich denke aber es sind jetzt schon mehr als genug Gründe, warum zentrale Dienste abzulehnen sind und über kurz oder lang dezentralisiert werden müssen. Auch wenn Anbieter heute vorgeben „nicht böse zu sein“, kann sich dies jederzeit ändern. Große Macht bring große Verantwortung heißt es – aber große Macht verleitet auch dazu, sie zu missbrauchen. Ich jedenfalls möchte nicht darauf vertrauen, dass zentrale Anbieter verantwortungsvoll mit ihrer Macht umgehen. Dafür gibt es schon jetzt zu viele Gegenbeispiele.

Gefahrenabwehr über alles!

Die größte Änderung am neuen Polizei- und Ordnungsbehördengesetz (POG) von Rheinland-Pfalz betrifft § 31. Dieser wird komplett durch die neuen §§ 31 bis 31 e ersetzt. Diese Paragrafen enthalten so ziemlich alles was Bürgerrechtler und Datenschützer hellhörig werden lässt:

  • Überwachung und Aufzeichnung von Telekommunikation
  • Identifizierung & Lokalisierung von Mobiltelefonen
  • Datenabfrage bei Providern
  • Online-Durchsuchungen
  • Unterbrechung und Verhinderung von Kommunikationsverbindungen
  • Funkzellenabfrage

Ich lehne nicht alle dieser Maßnahmen generell ab. Zum Beispiel halte ich es im Einzellfall für duchaus gerechtfertig die Telekommunikation eines Verdächtigen zu überwachen. Allerdings schlägt das POG deutlich in Richtung Präventivstaat aus und setzt den Fokus auf eine abstrakte Gefahrenabwehr. Die Maßnahmen richten sich dabei nicht nur gegen Verdächtige einer Straftat, sondern auch gegen „potentielle Gefährder“, Begleit- und Kontaktpersonen sowie „Nachrichtenmittler“.

Hier einige immer wiederkehrende Formulierungen aus der POG-Novelle, bei denen sich mir die Haare sträuben:

  • „Die Maßnahme darf auch durchgeführt werden, wenn Dritte unvermeidbar betroffen sind“
  • „Personen, bei denen bestimmte Tatsachen die Annahme rechtfertigen, dass …“
  • „zur Abwehr einer dringenden Gefahr, oder zur vorbeugenden Bekämpfung von Straftaten von erheblicher Bedeutung“

Es geht fast überhaupt nicht mehr um die Aufklärung von Straftaten und die Ermittlung von Tätern, sondern die Erkennung und Verhinderung von Straftaten im Vorfeld. Minority Report lässt grüßen. Eine wissenschaftlich fundierte Begründung für die Ausweitung der Befugnisse kann ich nicht finden, lediglich den immer wiederkehrenden Verweis auf die Notwendigkeit Gefahren abzuwehren. Und wir wissen ja schließlich alle, dass Gefahr und Terror allgegenwärtig sind…

Die Novelle in der aktuellen Form muss weg. Stattdessen müssen die bisher im POG definierten Polizeibefugnisse wissenschaftlich evaluiert werden. Nur Maßnahmen die sich als notwendig, zweckmäßig und verhältnismäßig herausgestellt haben, dürfen beibehalten werden. Neue Befugnisse sind nach den gleichen Maßstäben zu beurteilen.

„Diffus bedrohliches Gefühl des Beobachtetseins“

Die Vorratsdatenspeicherung war Ende 2007 der Anlass für mich, erstmals auf die Straße zu gehen. Durch sie kam ich mit Aktivisten des AK Vorrat und der Piratenpartei in Kontakt. Die Vorratsdatenspeicherung hat eine große Bürgerrechtsbewegung hervorgebracht und die größte Verfassungsbeschwerde aller Zeiten provoziert.

Gestern wurde die Vorratsdatenspeicherung vom Bundesverfassungsgericht für verfassungswidrig und nichtig erklärt. Alle Daten, die noch nicht an Ermittlungsbehörden weitergegeben wurden, müssen umgehend gelöscht werden. Der Provider 1&1 hat nach eigenen Angaben schon damit angefangen.

Eine Speicherung von Telekommunikationsverbindungsdaten auf Vorrat gibt es damit in Deutschland nicht mehr. Viele Jahre haben wir dafür gekämpft. Dass das Gesetz komplett gekippt wird, habe ich zwar für möglich, aber nicht für sehr wahrscheinlich gehalten.

Die Vorratsdatenspeicherung ist ein schwerwiegender Eingriff in die Grundrechte, da sie geeignet ist „ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann“, begründet das Verfassungsgericht. Die Umstände der Kommunikation seien ebenso schutzbedürftig wie deren Inhalt. Allerdings sei eine anlasslose Speicherung „nicht schlechthin“ mit dem Grundgesetz unvereinbar. Daher greifen die Richter die zugrunde liegende EU-Richtlinie nicht an und verweisen auch nicht an den europäischen Gerichtshof. Laut den Verfassungsrichtern sei eine verfassungskonforme Umsetzung der EU-Richtlinie möglich.

Hohe Anforderungen

An die Ausgestaltung dieser Umsetzung stellen die Richter jedoch sehr hohe Anforderungen: Um die Verhältnismäßigkeit zu wahren muss die Normenklarheit in Bezug auf Datensicherheit, Datenverwendung, Transparenz und Rechtsschutz gegeben sein. Datensicherheit betrifft dabei sowohl die Aufbewahrung als auch die Übermittlung und Löschung der Daten. Sicherheitsstandards müssen sich am aktuellen Stand der Technik orientieren, die Daten müssen asymmetrisch verschlüsselt werden, die Rechner vom Internet getrennt sein und ein 4-Augen-Prinzip sichergestellt werden. Der Zugriff auf und die Löschung der Daten müssen revisionssicher Protokolliert werden. Um die Transparenz zu wahren muss es zudem Informationspflichten bei Datenschutzverletzungen geben. Der Betroffene muss beim Abruf der Daten informiert werden, falls kein anders lautender richterlicher Beschluss vorliegt. Um einen sicheren Rechtsschutz zu gewährleisten hat der Zugriff zudem unter einem Richtervorbehalt zu stehen und den Betroffenen muss ein Rechtsschutzverfahren möglich sein. Verletzungen des Datenschutzes und der Datensicherheit müssen wirksam sanktioniert werden.

Eine neue Vorratsdatenspeicherung?

Da das derzeitige Gesetz zur Vorratsdatenspeicherung komplett für nichtig erklärt wurde, geht der Gesetzgebungsprozess nun komplett von neuem los, wenn die Regierung denn überhaupt noch eine Umsetzung wünscht. Die selbsternannte Bürgerrechtspartei FDP hätte nun Gelegenheit sich als solche zu beweisen und sich dafür einzusetzen, dass die EU-Richtlinie komplett zurück genommen wird. Wir sind in Europa nicht allein: Schweden weigert sich die Vorratsdatenspeicherung umzusetzen, Österreich befindet sich immer noch im Gesetzgebungsprozess und hat sich deshalb schon ein Vertragsverletzungsverfahren eingehandelt, Rumänien hatte die Vorratsdatenspeicherung bereits letztes Jahr für verfassungswidrig erklärt.

Es ist jetzt an der Zeit, die Vorratsdatenspeicherung auf europäischer Ebene zu Fall zu bringen! Leider hat es die CDU immer noch nicht verstanden und behauptet dreist, die Speicherung sei nötig „um die Bürgerinnen und Bürger wirksam vor schweren und schwersten Straftaten schützen zu können“. Ich bin es langsam leid auf solche unsinnigen Behauptungen einzugehen… Muss ich auch nicht, steht ja alles hier.

Ich hoffe doch sehr, dass die CDU mit ihren Bestrebungen die Vorratsdatenspeicherung neu aufzusetzen alleine dasteht. Nicht alles was verfassungsrechtlich machbar ist muss auch umgesetzt werden. Zudem halte ich es für enorm schwierig die umfangreichen Rahmenbedingungen des Bundesverfassungsgerichts wirksam einzuhalten. Allein die Formulierung eines entsprechenden Gesetzes dürfte eine große Hürde darstellen. Die effektive Umsetzung der Datensicherheits- und Transparenzanforderungen in der Praxis halte ich für Utopie.

Die FDP und die Lobbyisten

Es bleibt zu hoffen, dass die FDP dem Druck der CDU standhält. Mehr Sorgen als der Einfluss der CDU, macht mir jedoch die Musikindustrie, die sich über eine Hintertür des Urteils gerade besonders freut: Für die Identifkation von Nutzern hinter einer IP-Adresse hat das Gericht nämlich deutlich geringere Hürden gesetzt. Begründet wird dies damit, dass bei einer Identifikation ja keine Vorratsdaten herausgegeben würden. Der Anbieter ermittle mittels der Vorratsdaten lediglich intern die zugehörigen Bestandsdaten. Herausgegeben würden nur Bestandsdaten, d.h. Name und Adresse des Kunden. Zudem sei für diese Anfragen weder ein Richterbeschluss nötig, noch beschränke sich der Zugriff auf schwere Straftaten. Die Abfrage von Bestandsdaten zu einer IP-Adresse sei auch bei gewichtigen Ordnungswidrigkeiten erlaubt. In der Urteilsbegründung wird sogar ausdrücklich die Verfolgung von Urheberrechtsverletzungen genannt.

Die FDP ist nicht gerade für eine liberale Urheberrechtspolitik bekannt. Ich bin gespannt ob sie der Verlockung widersteht eine Vorratsdatenspeicherung zur Verfolgung von Urheberrechtsverletzungen einzuführen. Ich fürchte spätestens bei diesem Stichwort wird die Partei einknicken. Vielleicht wird Frau Leutheusser-Schnarrenberger dann abermals so stark sein, von ihrem Amt zurückzutreten – nützen wird uns dies jedoch wenig.

Durchatmen und weiterkämpfen

Zunächst einmal haben wir uns jedoch Luft geschaffen. Die Vorratsdatenspeicherung ist vom Tisch und diejenigen sind im Zugzwang, die sie wieder einführen möchten. Ich habe es gestern genossen erstmals wieder vorratsdatenfrei zu kommunizieren (auch wenn das vermutlich ein Trugschluss war, da es sicher noch ein paar Tage dauern wird, bis alles abgeschaltet und gelöscht ist). Das Gesetz ist in Deutschland erstmal vom Tisch. Der AK Vorrat kündigt bereits an, nun auf europäischer Ebene weiter vorzugehen. Wir haben einen wichtigen Etappensieg errungen, den wir weiter ausbauen können. Zudem gibt es noch weitere wichtige Baustellen denen wir uns widmen müssen: Spontan fallen mir ELENA, JMStV und ACTA ein. Auch das Zugangserschwerungsgesetz ist nach der Unterschrift Köhlers wieder auf der politischen Tagesordnung. Es gibt also viel zu tun. Packen wirs an!

Weiterführende Links

Gedenktag

Am 9. November ist in der Vergangenheit schon so einiges passiert – Positives wie Negatives. Nicht umsonst wird dieser Tag auch als Schicksalstag der Deutschen bezeichnet. Während insbesondere an den Mauerfall schon hinreichend oft erinnert wurde, möchte ich an dieser Stelle noch ein anderes Ereignis ins Gedächtnis rufen: Den Beschluss der Vorratsdatenspeicherung.

Am 09. November 2007 haben 366 deutsche Abgeordnete für ein Gesetz gestimmt, das alle Bürger unter Generalverdacht stellt und ohne Anlass überwacht. Von uns allen wird gespeichert, wann wir mit wem telefonieren, wie lange das Gespräch dauert, wo wir uns bei Mobilfunkgesprächen und SMS aufhalten, wem wir E-Mails schicken und wann wir uns ins Internet einwählen. Für ein halbes Jahr werden diese Daten anlasslos festgehalten!

Das Gesetz ist immer noch da. Und es ist nicht weniger schlimm geworden, in den zwei Jahren seit Beschluss. Auch die neue Regierung mit der ach so liberalen FDP hat dieses Gesetz nicht wieder abgeschafft. Die Daten werden nach wie vor gespeichert. So lange dieses Gesetz existiert müssen wir dagegen protestieren. Nichts rechtfertigt die anlasslose Überwachung der eigenen Bürger!

Es geht um die Zukunft des Internets!

Hilf mit, Netzdiskriminierung und Internetsperren zu stoppen: Kontaktiere unsere EU-Abgeordneten!

Die Lobbyisten haben wieder zugeschlagen – abermals geht es um das „Telekom-Paket“, das eigentlich den Verbraucherschutz im Telekommunikationsbereich stärken soll: Schon letztes Jahr haben Lobbyisten der Musikindustrie versucht durch die Hintertür Internetsperren einzuschleusen (Stichwort „Three-Strikes-Out“).

In dem Verwirrspiel aus hunderten, sich gegenseitig referenzierenden Änderungsanträgen, haben selbst engagierte EU-Abgeordnete nicht mehr richtig durchgeblickt. Dank der Bürgerrechtsorganisation „La Quadrature du Net“ und dem Engagement zahlreicher Bürger, die dem Aufruf von netzpolitik.org folgten, sind die Probleme bei den Abgeordneten angekommen. Viele skandalöse Anträge wären sonst womöglich einfach abgenickt worden.

Jetzt kommt das Telekom-Paket in die zweite Lesung – und abermals gibt es massive Probleme: Die Telefongesellschaften versuchen die Netzneutralität aufzuweichen, um die Übertragung der Inhalte zu kontrollieren. Die Anbieter wollen filtern, steuern, regeln: Welche Anwendungen und Dienste sind wie schnell, wann, wo und für wen erreichbar? Das Internet würde sich zurückentwickeln zu einem zentralisierten Netzwerk, das von einigen Wenigen kontrolliert und gesteuert wird. Auch Internetsperren stehen dank der Hartnäckigkeit der Musikindustrie wieder auf der Agenda.

Wir brauchen erneut ein bürgerliches Gegengewicht gegen die Industrielobby! Netzpolitik.org stellt fest:

Da die meisten Abgeordneten von dem Thema wenig Ahnung haben, verlässt man sich bei den Empfehlungen auf die Experten aus den richtigen Ausschüssen. Hier müssen wir handeln und der Industrie-Lobby unsere gemeinsame Macht der Bürger entgegen setzen.

Es ist Zeit zu handeln: Kontaktiere die Abgeordneten und weise Sie auf die Probleme hin! Bei netzpolitik.org gibt es ein Musteranschreiben und eine Liste der Abgeordneten, die dringend kontaktiert werden müssen. Erst wenn deren Postfach überquillt, werden sie uns wahrnehmen. Dass es funktioniert, hat sich letztes Jahr gezeigt. Mache Druck auf die Abgeordneten! Die Wahlen stehen kurz bevor und es ist einfacher denn je, sich Gehör zu verschaffen.