FAZ-Interview vom 3.7.2013 über PRISM und Tempora

Das Interview ist in der Print-FAZ vom 3.7. erschienen, und ist auch online bei der FAZ veröffentlicht worden. Aus Transparenzgründen veröffentliche ich hier die Fragen und meine Antworten in der Rohfassung.

Die Fragen stellte Michael Hanfeld. Die Antworten sind von Felix von Leitner.

Inzwischen haben die meisten von den Überwachungsprogrammen "Prism" und "Tempora" gehört, mit denen der amerikanische und der britische Geheimdienst die Kommunikation im Internet und die mobile Kommunikation überwachen. Platte Frage: Kann ich mich dagegen schützen?

Ja und nein. Grundsätzlich kann man nicht verhindern, dass andere Leute die Daten mitlesen, die man verschickt oder empfängt. Das liegt in der Natur der Sache bei kooperativen Netzen. Nicht nur die Geheimdienste können das mitlesen, auch der Internet-Provider kann mitlesen, z.B. die Telekom. Im Allgemeinen werden die das nicht tun, aber sie sind gesetzlich verpflichtet, für die Polizei Schnittstellen vorzuhalten, damit die das können. Man muss also immer davon ausgehen, dass jemand mitlesen kann. Und das gilt nicht nur für das Internet, sondern auch für Mobilfunk. Da ist es ja sogar noch offensichtlicher, denn Funk ist ja generell von jedem mit Antenne in Reichweite empfangbar.

Ich kann aber verhindern, dass die Mitleser tatsächlich den Inhalt der Emails lesen können, indem ich Datenverschlüsselung einsetze. Im einfachsten Fall heißt das, dass man auf sein Webmail-System per https://-URL zugreift, nicht per http:// -- das ist glücklicherweise heutzutage Standard. Aber es hat leider nicht dazu geführt, dass die Emails jetzt sicher sind, sondern dass die Geheimdienste das PRISM- Programm gestartet haben, um die Daten nach dem Entschlüsseln bei Google und co abzugreifen.

Der einzige echte Schutz ist daher Ende-zu-Ende-Verschlüsselung. Man verschlüsselt dann nicht nur zwischen mir und dem Mail-Anbieter verschlüsselt, sondern zwischen mir und der Gegenseite. Und da tun sich dann praktische Probleme auf. Wenn Sie mir für eine Interview-Anfrage eine Mail schreiben, woher wissen Sie dann, mit welchem Schlüssel Sie das verschlüsseln müssen, damit nur ich das lesen kann?

Hier sind in der Praxis vor fast jedem Kommunikationsvorgang manuelle Entscheidungen nötig. Der Anwender muss sich den Schlüssel der Gegenseite besorgt haben -- und wenn er von bösartigen Geheimdiensten im Internet ausgeht, dann muss er sich den Schlüssel direkt von der Gegenseite besorgt haben und den Pass kontrolliert haben o.ä. Oder ein gemeinsamer Freund muss die Echtheit bestätigt haben. Das artet schnell in Arbeit aus, daher hat es sich noch nicht in der breiten Bevölkerung durchsetzen können.

Übrigens ist die Ende-zu-Ende-Verschlüsselung auch genau der Teil, den das angeblich so sichere De-Mail-System nicht bieten wird. Da kann dann die Mail auf dem Weg entschlüsselt werden. Dann kann sie auf Viren geprüft werden, das ist die offizielle Begründung dafür, aber sie kann eben auch von Geheimdiensten abgegriffen werden.

Was kann man konkret unternehmen, um seine Kommunikation zu schützen? Nicht mit Google suchen? Nicht bei Facebook mitmachen? Keine Apple-Produkte verwenden?

Die Gesetzeslage ist so, dass das nicht an Google liegt, oder Microsoft, sondern die US-Regierung kann mit den sogenannten National Security Letters zu jedem Anbieter mit Niederlassung in den USA gehen und die Herausgabe der Daten verlangen.

In Deutschland sieht die Situation zwar im Detail nicht ganz so übel aus, aber auch bei uns kann die Polizei Mail-Anbieter zur Herausgabe verpflichten. Hier nützt es nichts, sich über die Mail-Anbieter aufzuregen. Da kann ja am Ende GMX nichts dafür, wenn die Gesetzeslage so ist. Letztlich ist es unsere Schuld als Wähler, dass wir es soweit haben kommen lassen.

Am Ende hilft aber natürlich jede Verschlüsselung der Welt nichts, wenn man seine persönlichen Daten auf Facebook und Twitter und co veröffentlicht. Heutzutage kann man sich ja nirgendwo mehr auf einen Job bewerben, ohne dass die erstmal Facebook auf peinliche Party-Fotos durchstöbern. Wer da nicht Datensparsamkeit gepflegt hat, der hat schon unabhängig von den Geheimdiente schlechte Karten im Leben.

Ist es realistisch, dass der durchschnittliche Internet-Nutzer bei seinen Mails auf Verschlüsselung setzt? Das klingt nicht unkompliziert und nicht jeder ist ein Programmierer. Finde ich irgendwo Tools, die mir weiterhelfen?

Das ist mit Aufwand verbunden, keine Frage. Aber der Aufwand kommt nicht von den schlechten Werkzeugen, sondern der ist der Problematik inhärent. Wir haben eben nicht sowas wie ein Telefonbuch mit den Schlüsseln aller Bürger. Daher muss man da entweder Aufwand treiben und für jeden Kommunikationspartner von Hand den richtigen Schlüssel finden und einpflegen, oder man muss Kompromisse eingehen.

Wie viel Kompromiss noch mit dem Sicherheitsbedürfnis zu vereinbaren ist, das muss am Ende jeder für sich selbst entscheiden.

Nehmen Sie z.B. ein Chatsystem. Da wird häufig der Kompromiss eingegangen, dass man nur den Weg zum Server verschlüsselt, nicht zum Gegenüber. Und dann tauchten sowohl bei Wikileaks als auch vor dem Militärtribunal gegen Bradley Manning Chatmitschnitte auf. Bei Manning kamen die sogar von seinem Chatpartner, den er kannte, nicht von einem Geheimdienst. Da hilft natürlich keine Verschlüsselung der Welt gegen.

Letztlich ist Verschlüsselung nur ein Werkzeug, nicht die Lösung. Die Lösung ist, gewisse Dinge einfach gar nicht erst preiszugeben.

Unterscheiden sich die hiesigen Anfragen bei den Mail-Anbietern vom Zugriff durch "Prism" und "Tempora"? Bislang hat man den Eindruck: Da wird gar nicht gefragt, sondern gleich mitgelesen und mitgehört.

Auch die Schnittstellen bei uns sehen so aus, dass der Anbieter nicht mitkriegt, was da konkret an Daten abgegriffen wird, und ob überhaupt gerade etwas rausgeleitet wird. Stellen Sie sich mal vor, die Polizei ermittelt gegen einen Techniker bei einem Mail-Anbieter. Der darf doch dann nicht sehen können, wenn die seine Mails lesen.

Wie das in Bürokratien so ist, wird das dann auf die Spitze getrieben. So gibt es in diesen Schnittstellen verschiedene Zugriffsebenen. Wenn ein Geheimdienst überwacht, kann der z.B. auch die verdeckten Zugriffe der Polizei überwachen, ohne dass die Polizei das dann sehen kann. Das ergibt ja auch wieder Sinn, wenn man z.B. einen Polizisten der Spionage verdächtigt. Aber im Endeffekt haben wir in unserem Land ein genau so untransparentes und gefährliches System wie die Amerikaner. Nur dass bei den Amerikanern zumindest auf dem Papier ein Whistleblower-Schutz existiert. Bei uns gäbe es keinerlei rechtlichen Schutz gegen Repressalien, wenn jemand solche Details verraten würde. Diese Schnittstellen sind übrigens standardisiert, da kann man die Standards einsehen und ist nicht auf Hörensagen und Verschwörungstheorien angewiesen.

Zum Stichwort Schnittstellen: Können die amerikanischen und britischen Geheimdienste auf die Schnittstellen bei uns mir-nichts-dir-nichts zugreifen?

Das ist eine interessante Frage. Wir wissen, dass nach dem Krieg Deutschland in wesentlichen Aspekten kein souveräner Staat war, und dass sich die Aliierten weitgehende Rechte vorbehalten haben. Erst in den letzten Jahren wird langsam bekannt, in welchem Umfang die West-Aliierten die Post der Deutschen mitgelesen haben. Im öffentlichen Diskurs hieß es aber immer nur, dass die böse DDR die Briefe öffnet und mitliest und verschwinden lässt. Die bis heute geltenden Verträge zwischen Deutschland und den Aliierten sind leider geheim. Man kann nur spekulieren, was da für Verpflichtungen Deutschlands gegenüber den Siegermächten kodifiziert wurden.

Ich für meinen Teil halte es für nicht glaubwürdig, dass ausländische Dienste sich auf unsere Überwachungsinfrastruktur verlassen würden. Da könnten die sich doch nie sicher sein, dass wir nicht mitkriegen, wenn die die benutzen. Und das würde ein ausländischer Dienst ja eher vermeiden wollen. Daher gehe ich davon aus, dass die zwar Zugriff haben, aber über eigene Schnittstellen. So ist seit vielen Jahren bekannt, dass über spezielle Unterseeboote Telefonleitungen am Meeresboden angezapft wurden. Man kann sich kaum ausmalen, was das für ein technischer und logistischer Aufwand sein muss, und was das für Kosten verursacht. Wenn Geheimdienste zu solchen Ausgaben fähig sind, dann muss man davon ausgehen, dass sie auch alle anderen ähnlich gelagerten Projekte mit weniger oder ähnlich hohen Kosten durchgeführt haben.

Man sollte annehmen, dass sich zumindest die informierteren Regierungsstellen dem Zugriff von "Prism", "Tempora" und Co. Entziehen. Wie machen die das? Und wie heißt eigentlich das "Prism" des BND?

Die informierten Regierungsstellen können da auch nicht prinzipiell mehr machen als wir Privatbürger. Die EU, haben wir kürzlich aus einer Snowden-Veröffentlichung erfahren, setzt ein verschlüsselndes Fax-Gerät ein, um zwischen ihrer Niederlassung in Washington und den Außenministerien der EU-Länder unabgehört kommunizieren zu können. Das scheint auch soweit funktioniert zu haben, denn die Amerikaner sahen sich genötigt, sich physischen Zugriff auf dieses Gerät zu verschaffen, und eine Wanze einzubauen, über die sie dann doch alles mitlesen konnten.

Aus China wissen wir aus einer weiteren Snowden-Veröffentlichung, dass die Amerikaner zwar keine Schnittstellen für den direkten Zugriff hatten, aber dann eben alle Telekommunikationsunternehmen über ihre Cyberwar-Abteilung gehackt haben, und so alle Daten rausgeleitet haben.

Ich halte es für realistisch, dass auch unsere Behörden alle infiltriert worden sind. Es gab ja vor ein paar Jahren einen entsprechenden Skandal, bei dem es dann aber schnell hieß, dass das die bösen Chinesen gewesen seien. Wenn man bei den Untersuchungen herausgefunden hätte, dass das die Amerikaner waren, wäre das PR-technisch trotzdem den Chinesen in die Schuhe geschoben worden, da bin ich mir recht sicher. Letztlich ist das ja genau die Aufgabe von Geheimdiensten, sich bei Freund und Feind Zugang zu verschaffen.

Der BND hat ein Tempora-ähnliches Programm, das heißt "strategische Telekommunikationsüberwachung". Da geht es auch darum, in großer Masse Emails und andere Telekommunikationen anderer Länder abzuhorchen. PRISM ist ja ein Schritt weiter. Da geht es darum, nach der Entschlüsselung Zugriff auf die unverschlüsselten Daten direkt bei den Webmail-Anbietern zu erlangen. Über ein solches BND-Programm ist noch nichts öffentlich bekannt geworden. Es würde mich aber sehr wundern, wenn es sowas nicht zumindest für inländische Anbieter gäbe.

Ich habe Visisitenkarten von deutschen Geheimdienstlern gesehen, bei denen die Email-Adresse auf @gmx.de oder @t-online.de endete; das können Sie sich ja selber überlegen, ob sie es für wahrscheinlich halten, dass Geheimdienste ihre Email über solche Anbieter abwickeln würden, wenn Sie da nicht weitergehende Zugriffsmöglichkeiten haben. Ich will da jetzt auch gar nicht GMX und T-Online besonders hervorheben, das betrifft natürlich alle entsprechenden inländischen Anbieter. Solange wir als Wähler nicht verhindern, dass gesetzliche Grundlagen für derartige Zugrffe existieren, dürfen wir uns auch nicht wundern, wenn sie stattfinden.

Die Überwachung wird mit der Bekämpfung des Terrorismus begründet. Das klingt ja nicht unplausibel. Nach dem Motto: Wenn die Geheim- und Sicherheitsdienste nicht auf den Online-Datenverkehr zugreifen können, haben Terroristen freie Fahrt auf der Datenautobahn.

Ich finde, dass man da gegenhalten muss. Terrorismus ist ja definiert als Einschüchterung, als Angriff, der nicht mich direkt angreift, sondern mir Angst macht, und ich so meine Lebensart ändere. Das ist doch genau, was hier gerade passiert! Nur dass eben nicht "die Terroristen" diesen Angriff durchführen, sondern die Geheimdienste. Dieses ewige "aber die Terroristen" ist doch genau so hohl wie der Hinweis auf die angebliche parlamentarische Kontrolle. Im öffentlichen Diskurs muss mal jemand die Frage stellen, ob der real erlebte Terror nicht eher von den Diensten ausgeht, anstatt dass sie uns vor ihm schützen. Was wir schon alles im angeblichen Kampf gegen den Terror in unserem Leben ändern mussten...

Einschub: Der nächste Abschnitt war ein Hinweis an die FAZ. Den hätten die auch gerne in das Interview tun können, aber haben es lieber für spätere Recherchen notiert. Ich dokumentiere das hier trotzdem. Die FAZ hat mir das vorher angesagt und ich hatte Gelegenheit, das doch im FAZ-Interview haben zu wollen. Ich habe die Entscheidung dem Redakteur überlassen.

Ich weiß nicht, ob Sie wissen, wer Hartmut Pohl ist. Der schreibt gerade für die Gesellschaft für Informatik Pressemitteilungen. Googeln Sie den mal. Der war vorher beim Verfassungsschutz.

http://www.gi.de/presse/detailansicht/article/geheimdienste-kontrollieren-die-weltweite-internetkommunikation-1.html

Und der sagt da: hey, was wundert ihr euch eigentlich alle so, das war doch seit den 70er Jahren bekannt. Ach ja? Man würde doch denken, wenn das alle bei den Diensten wussten, dass das über die "parlamentarische Kontrolle" auch im Parlament bekannt war. So sieht das aber nicht aus gerade, oder?

Ende Einschub