Seit Beginn des Jahres 2009 ist die nächste Stufe der Vorratsdatenspeicherung in Kraft. Auch Internetprovider, Anbieter von VoIP-Telefonie und E-Mail-Diensten müssen nun protokollieren, wer mit wem gesprochen oder gemailt hat. Doch es gibt Möglichkeiten, die Vorratsdatenspeicherung zu umgehen.
Seit 2008 müssen die Telekommunikationsdienstleister ein halbes Jahr lang sämtliche Verkehrsdaten elektronischer Kommunikation speichern. Das umfasst zunächst die Beteiligten an der Kommunikation und den Zeitpunkt: Wer schreibt wem wann eine SMS, wer ruft wen zu welcher Zeit an? Wird die Kommunikation vom Mobiltelefon geführt, wird noch die Funkzelle erfasst, von der aus das Gespräch geführt wurde sowie die Kennung der SIM-Karte und des Telefons (IMEI-Nummer).
Seit 1. Januar 2009 müssen auch die Anbieter von Internetdiensten Verbindungsdaten speichern. Dazu gehört, zu welcher Zeit ein Nutzer wie lange und unter welcher IP-Adresse das Internet genutzt hat. Bei einer E-Mail werden die Adressen von Absender und Empfänger gespeichert, ihre IP-Adressen sowie die Zeitpunkte, wann die Mail versandt und wann sie vom Server abgerufen wird.
Ausgenommen von der Speicherung sind die Inhalte von Gesprächen und E-Mails oder welche Websites angesurft werden. Wie die Abhöraffäre bei der Deutschen Telekom zeigt, sind jedoch auch Verbindungsdaten aufschlussreich. Oft genug ist es für Verfolger sogar interessanter, zu erfahren, wer mit wem kommuniziert hat, als den Inhalt eines Gesprächs zu kennen.
Deshalb ist es wichtig, seine Kommunikation zu schützen. Das ist allerdings nicht so einfach. Das Perfide an der Vorratsdatenspeicherung ist, dass die Dienstleister, mit denen man zwingend zusammenarbeiten muss, wenn man kommunizieren will, diese Daten erheben müssen. Das bedeutet, dass es praktisch nicht möglich ist, der Speicherung zu entkommen. Damit haben die staatlichen Stellen die Kosten für die Einrichtung der Abhörinfrastruktur auf die Unternehmen abgewälzt, die diese letztlich an ihre Kunden weitergeben werden.
Die Telekommunikationsanbieter haben allerdings dagegen geklagt und vor dem Berliner Landgericht Recht bekommen. Anfang Dezember 2008 sprach der Rechtsausschuss des Bundestags den Telekommunikationsunternehmen Entschädigungen für den Betrieb der Abhöreinrichtungen zu. Im Jahr 2009 will der Bundestag über eine Erstattung der Investitionen für die Abhörinfrastruktur entscheiden.
Allerdings gebe es Möglichkeiten, Verkehrsdaten so zu manipulieren, dass sie für Lauscher unbrauchbar sind, erklärt Albrecht Ude, Journalist und Trainer für Datensicherheit. Einige davon sind einfach und ohne technischen Aufwand umzusetzen: Wer ein vertrauliches Telefongespräch führen möchte, von dem keine personalisierten Verbindungsdaten erfasst werden sollen, nutzt einen anderen Anschluss als den eigenen. Das kann ein öffentliches Telefon sein, etwa in einem Callshop, aber auch der Festnetz- oder Mobilanschluss eines Dritten - aber lieber nicht der von Nachbarn, nahen Verwandten oder engen Freunden, die leicht zu ermitteln sind.
Andere Möglichkeiten, zu verschleiern, mit wem man telefoniert hat, sind die Nutzung einer Telefonkonferenz oder eines Softphones. Bei beiden Möglichkeiten werden zwar Verbindungsdaten erfasst. Sie lassen jedoch keinen Rückschluss auf den Gesprächsteilnehmer zu. Treffen sich zwei Gesprächsteilnehmer in einem Telefonkonferenzraum, wird nur erfasst, dass sie dessen Nummer gewählt haben, nicht aber, dass sie sich dort getroffen und miteinander gesprochen haben. Nutzen zwei Gesprächsteilnehmer eine Telefonsoftware wie Skype oder Zfone, werden zwar die Daten der Internetverbindung gespeichert. Daraus ist aber nicht ersichtlich, dass ein Nutzer einen anderen über den Computer angerufen hat. Vergleichbares gilt für die Nutzung eines Instant Messengers: Auch hier wird nur erfasst, wann ein Nutzer online ist, nicht aber, mit wem er Nachrichten austauscht.
Eine etwas unkonventionelle Methode, die Vorratsdatenspeicherung bei der Mobilkommunikation zu unterlaufen, bietet die SIM-Kartentauschbörse, die im Umfeld des Arbeitskreises Vorratsdatenspeicherung entstanden ist. Hier schickt ein Interessent eine mit 10 Euro aufgeladene Prepaid-SIM-Karte inklusive der dazugehörigen persönlichen Kennnummer (PIN) und der Rufnummer an die Börse. Im Gegenzug erhält er eine ebenfalls mit 10 Euro aufgeladene SIM-Karte, über die er nun unter einer fremden Identität telefoniert. Der Tausch selbst läuft anonym ab: Die Tauschpartner werden zufällig ausgewählt, die Tauschbörse zeichnet keine Daten auf. Eine Rückverfolgung der Karte ist damit weitgehend ausgeschlossen. Vollkommene Sicherheit bietet der Kartentausch jedoch nicht: Getauscht wird nur eine SIM-Karte. Der Mobilfunkanbieter erfasst jedoch neben der Kennung der SIM- Karte auch die des Telefons. Ist diese bekannt, lässt sich darüber auch ein Mobiltelefonierer mit getauschter SIM-Karte ermitteln.
Rechtlich, sagt Ude, ist SIM-Kartentausch unbedenklich. "Niemand kann mir verbieten, etwas zu kaufen und es dann mit jemand anderem zu tauschen." Der Berliner Anbieter Simonym, der mit gebrauchten SIM-Karten handelte, wurde jedoch im Juli 2008 von T-Mobile abgemahnt. Das Unternehmen warf Simonym einen Verstoß gegen seine Geschäftsbedingungen für Prepaid-Produkte vor, nach denen ein Besitzerwechsel eines Mobilfunkanschlusses genehmigt werden müsse.
Nutzt jemand eine getauschte SIM-Karte bei einer Straftat, fällt der Verdacht zuerst auf die Person, auf die die Karte angemeldet ist. Wer also am Kartentausch teilnimmt, sollte sich bewusst sein, dass er unter Umständen Schwierigkeiten mit der Polizei bekommen kann. Ganz auf der Linie der Behörden warf T-Mobile Simonym vor, "durch die Veräußerung 'anonymer SIM-Karten' missbräuchliches Verhalten, von belästigenden Telefonanrufen bis hin zur Vorbereitung terroristischer Handlungen", zu fördern.
Auch finanziell kann Kartentausch zu Problemen führen. Da die SIM-Karte auf den ursprünglichen Eigentümer registriert ist, muss dieser dafür einstehen, wenn der neue Inhaber das Guthaben überziehen sollte. Außerdem kann der neue Inhaber unter Umständen beim Anbieter Namen, Adresse und eine eventuell angegebene Bankverbindung in Erfahrung bringen und darüber das Guthaben auf der Karte aufladen. T-Mobile behält sich zudem das Recht vor, eine SIM-Karte, deren Tausch das Unternehmen nicht genehmigt hat, zu sperren.
E-Mail-Kommunikation lässt sich vor der Vorratsdatenspeicherung durch die Nutzung eines Remailer- Netzwerkes schützen. Dabei wird eine E-Mail nicht wie üblich über den Mailserver des Absenders zum Mailserver des Empfängers versendet, von dem sie dann abgerufen wird, sondern die Mail nimmt einen Umweg über verschiedene Server. Jeder der Server verändert dabei den Header der Mail, der die Absenderdaten enthält. Kommt die Mail schließlich an, ist nur noch die Adresse des Empfängers erkennbar; auf den Absender gibt es keinen Hinweis mehr.
Es gibt zwei Arten von Remailern: Type I oder Cypherpunk und Type II oder Mixmaster. Letzterer bietet mehr Schutz vor Verfolgern und Lauschern, weil die Datenpakete einer E-Mail vom Server nicht sofort nach Eintreffen weitergeleitet werden. Stattdessen speichert der Server Datenpakete auf unbestimmte Dauer, bündelt sie mit anderen eintreffenden Nachrichten und schickt sie an den nächsten Knoten. So wird eine E-Mail auch vor dem Belauschen eines Remailer-Servers geschützt. Allerdings verlängert das auch die Laufzeit der Mail: Eine über das Mixmaster-Netz versandte Mail kann bis zu zwölf Stunden unterwegs sein. Außerdem ist es ratsam, dem Empfänger im Text der Mail einen Hinweis auf den Absender zu geben, damit er weiß, von wem die Mail stammt.
Wer nicht eigens eine Software auf seinem Computer installieren möchte, kann eine Mail über ein Webformular verschicken, wie es die "German Privacy Foundation" (GPF) anbietet, das den Mixmaster- Remailer nutzt.
Um zudem den Inhalt der Mail zu schützen, rät Ude, diese zusätzlich zu verschlüsseln. Eine verschlüsselte und über ein Remailer-Netz verschickte Mail sei ausreichend vor neugierigen Blicken geschützt. "Ein Überwacher sieht nur, dass der Empfänger eine Mail bekommt. Er weiß jedoch nicht, wer sie geschrieben hat, und er kann sie nicht lesen. Das ist keine brauchbare Information."
Das Mailprogramm Smallmail, das von dem Projekt Small Sister entwickelt wurde, vereint beide Funktionen. Die Software, die seit wenigen Tagen in einer Betaversion bereitsteht, verschlüsselt den Mailtext und verschickt die Mail über das TOR-Netzwerk (siehe unten). So ist der Absender der Mail nicht identifizierbar. Vorerst steht das Programm allerdings nur für Linux zur Verfügung. Ziel des Projektes ist aber nach eigenen Angaben, es für alle Plattformen bereitzustellen.
Würde der Absender der Mail jedoch überwacht, könnten die Verfolger feststellen, dass der Nutzer diese Seite aufgerufen hat. Um auch diese Spuren zu verwischen, empfiehlt Ude zudem die Nutzung eines Anonymisierungsdienstes wie The Onion Router, kurz TOR, oder Java Anon Proxy (JAP). Ähnlich wie beim Remailer wird bei diesen Diensten eine aufgerufene Webseite nicht direkt ausgeliefert, sondern über mehrere zufällig ausgewählte Server. Auf diese Weise ist es nicht möglich, zu verfolgen, welche Seiten ein Nutzer aufgerufen hat.
Die entsprechende Software steht im Internet für die gängigen Betriebssysteme zum Herunterladen bereit. Wer kein zusätzliches Programm auf seinem Computer installieren will, kann den Privacy Dongle nutzen, den der Bielefelder "Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs" (FoeBuD) ab 20 Euro anbietet. Das ist ein USB-Stick, auf dem die TOR-Software Torpark installiert ist, zu der auch ein Firefox-Browser gehört. Wird das Programm gestartet, verbindet es sich automatisch mit dem TOR-Netzwerk und ermöglicht sicheres Surfen von jedem Computer aus. Der Foebud bietet die Torpark-Software auch kostenlos zum Herunterladen an. Damit kann jeder beliebige USB-Stick zu einem Privacy Dongle umfunktioniert werden.
Allerdings hat die Anonymisierung auch Nachteile: Sie verlangsamt die Kommunikation. Seiten, die über mehrere TOR-Server umgeleitet werden, brauchen längere Ladezeiten, als wenn sie direkt abgerufen werden.
Wie die Verschlüsselung schützt die Nutzung eines Programms wie TOR oder JAP nur die Inhalte der Kommunikation, nicht aber vor der Erfassung der Verbindungsdaten. In Zeiten der Vorratsdatenspeicherung vollkommen anonym surfen kann man deshalb nur von einem anderen als dem eigenen Computer aus. Wer aus Gründen höchster Vertraulichkeit eine Kommunikation vor allen neugierigen Blicken verbergen möchte, dem bleibt dafür nur eine Möglichkeit: Zur Sicherheit werden die Daten, die verschickt werden sollen, zuerst verschlüsselt und dann auf einem USB-Stick oder, noch besser, auf einem Privacy Dongle gespeichert. Mit dem mobilen Speicher geht man in ein Internetcafé und verschickt die verschlüsselten Dateien von dort aus über einen Remailer.
Verwandte Artikel:
Britische Innenministerin will Vorratsdatenspeicherung (02.01.2009 14:32, http://www.golem.de/0901/64362.html)
EU-Politiker planen den Überwachungsstaat (11.09.2008 16:36, http://www.golem.de/0809/62367.html)
Verschlüsseltes Kontaktsystem für Journalisten (09.06.2008 17:44, http://www.golem.de/0806/60265.html)
Journalistenverband will Vorratsdatenspeicherung abschaffen (28.05.2008 12:18, http://www.golem.de/0805/60010.html)
Bundesregierung gegen freiwillige Vorratsdatenspeicherung (25.11.2008 14:02, http://www.golem.de/0811/63766.html)
Links zum Artikel:
FoeBuD e. V.: http://www.foebud.org
German Privacy Foundation (GPF): http://www.privacyfoundation.de
wp
golem.de, Berlin, 03. Januar 2009
Original: http://www.golem.de/0901/60839.html