Immer mehr Überwachung – aber auch mehr Schutz?

Der Trend zu mehr Bürgerüberwachung ist spätestens seit Edward Snowden kein Geheimnis mehr. Regierungen rechtfertigen immer weitreichendere Eingriff in die Kommunikations- und Lebenswelt der Menschen mit dem Argument der Terrorabwehr oder dem Kampf gegen Pädophilie. In den letzten Wochen sind zwei besonders massive Beispiele dafür dazu gekommen. Zum einen das Update von Rule 41 der US-amerikanischen Federal Rules of Criminal Procedure und zum anderen die gemeinhin als "Snooping Law" bekannte Investigatory Powers Bill von Englands neuer Premierministerin Theresa May. Beide Gesetze erlauben oder legalisieren nachträglich massive Eingriffe in die Privatsphäre. Nun bestreitet niemand die Bedrohung durch Kriminelle, was auch immer deren Motivation sein mag. Doch die neuen Richtlinien werden die Sicherheit zahlreicher IT-Produkte schwächen und um diese Sicherheit ist es ohnehin nicht so gut bestellt, wie Vorfälle wie (beispielsweise) der aktuelle Google-Hack oder die ausgefallenen Telekom-Router zeigen.

Die Rule 41, seit 1. Dezember geltendes Recht in den USA; erlaubt es den Strafverfolgungsbehörden oder anderen Regierungsdiensten bei jedem Richter einen Beschluss anzufordern, um den Standort von jedem festzustellen, der irgendeine Form von Anonymisierungssoftware benutzt. Das kann Tor sein, oder auch einfach ein VPN. Um diesen Standort zu bestimmen, dürfen die Federal Agents jedes notwendige Mittel nutzen, beispielsweise einen Trojaner. Zudem wird es einfacher Durchsuchungsbeschlüsse für digitale Datenspeicher zu erhalten, wenn sich eine Ermittlung über mehrere Bundesstaaten erstreckt.

Als Beispiel für die Notwendigkeit der Gesetzesänderung zitiert das FBI den so genannten Playpen-Fall, bei dem ein vom FBI betriebener Tor-Server genutzt wurde, um Pädophile aufzuspüren. Während das in der Tat ein sinnvoller und erfolgreicher Einsatz war, öffnet die nun angepasste Rechtsprechung jeder Art von Schnüffelei die (legale) Tür, wenn nur irgendeine Form der Anonymisierung genutzt wird. Nun führt paradoxerweise schon der Einsatz des Tor Browsers zum Verdacht, auch wenn die US Regierung das Tor-Projekt teilweise selbst finanziert hat.

Diese Maßnahme verblasst aber im Vergleich zu dem, was die englische Regierung gerade auf den Weg gebracht hat. Theresa May, schon in ihrer Zeit als Innenministerin für datenschutzunfreundliche Initiativen bekannt, hat als Premierministerin das mit Abstand schärfste Überwachungsgesetz in Europa verabschiedet. Die Investigatory Powers Bill legalisiert nachträglich einige Aktivitäten der Geheimdienste, die durch Edward Snowden aufgedeckt wurden und erlaubt weitere, weitreichende Eingriffe. So darf der Geheimdienst nun en masse Kommunikationsdaten abfangen, ganz nach Wunsch – auch außerhalb der UK. Vorratsdatenspeicherung ist ebenfalls dabei, ein Jahr lang müssen ISPs die Metadaten ihrer Kunden aufbewahren, verdachtslos natürlich. Sollte ein Dienst mehr über den Kunden wissen wollen, sind die ISPs zur Hilfe beim Abfangen und Entschlüsseln von Inhalten verpflichtet. Und ohnehin dürfen Polizei und Dienste nun ausnahmslos alle Geräte hacken.

Was das praktisch bedeutet, wird man in den nächsten Monaten sehen können. Entweder bauen Hersteller gleich Backdoors in ihre Produkte ein, um den Wünschen der Regierung nachkommen zu können. Oder Schwachstellen werden nicht mehr publiziert und gefixt, sondern für den geheimen Zugriff offengelassen. Dass viele Hacks der letzten Jahre auf genau solchen Ansätzen – absichtlich programmierten oder nicht gefixten Schwachstellen – basieren, verdrängen die Gesetzeshüter gern. Wenn man als Pessimist die Haltung der USA zur Anonymisierungssoftware auch bald in Europa findet, sollten Firmen noch nicht einmal ihre Kommunikation per VPN verschlüsseln, das könnte verdächtig wirken. Übrigens, plakative Erfolge beim Kampf gegen verschlüsselte Informationen von Verdächtigen erzielte die englische Polizei vor kurzem auf die analoge Tour: Mitarbeiter des Scotland Yard beschatteten einen Verdächtigen bis er mit seinem iPhone telefonieren wollte und entrissen ihm dann das – entsperrte – Gerät.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.