Bestandsdatenauskunft – neues Überwachungsgesetz und Demos dagegen

Die Bundesregierung hat sich mal wieder ein neues Überwachungsgesetz ausgedacht: Die Bestandsdatenauskunft. Nachdem das BVerfG (mal wieder) ausufernde und schwammig formulierte Überwachungsbefugnisse kassiert hatte, musste „natürlich“ gleich ein neues Gesetz her, um die kassierten Befugnisse wieder einzuführen und noch weiter auszuweiten.

Worum geht es dabei? Eine Kurzzusammenfassung gibt es bei bestandsdatenauskunft.de, wo auch noch weitere Probleme aufgezeigt werden. Etwas ausführlicher:

Ermittlungsbehörden und Geheimdienste werden ermächtigt, auf sogenannte „Bestandsdaten“ zuzugreifen. Was das ist, ist zwar schwammig formuliert, aber sicherheitshalber wird sehr deutlich erwähnt, dass dazu auch Passwörter zählen, und die Abfrage auch anhand von IP-Adressen möglich sein soll. Ein Richtervorbehalt ist nur beim Zugriff auf Passwörter vorgesehen. Die anderen Abfragen, insbesondere also die Identifizierung von Internetnutzern anhand der IP-Adresse, sollen bei größeren Providern sogar über eine automatisierte Schnittstelle ablaufen. Hierfür reicht es, wenn die abfragende Stelle der Meinung ist, „für die Erfüllung der gesetzlichen Aufgaben“ diese Daten zu benötigen, und eine Rechtsgrundlage dafür vorweisen kann.

Die Rechtsgrundlage wird gleich mitgeschaffen, indem z. B. das BKA-Gesetz geändert wird (Art. 3 des Entwurfs). Danach darf das BKA Daten erheben, wenn es sie für seine Aufgaben gem. § 2 Abs. 2 Nr. 1 BKAG braucht. Dort steht „genau“, welche Daten das BKA braucht: „alle hierfür [gemeint: für Verfolgung und Prävention bestimmter Straftaten] erforderlichen Informationen“ – auf gut Deutsch: Alle Daten, auf die es gerade Lust hat und sie für „erforderlich“ hält.

Das ist nur ein Beispiel, es werden auch noch die Befugnisse anderer Behörden auf ähnliche Art und Weise ausgeweitet. Auf Grundrechte wurde nicht im Geringsten Rücksicht genommen. Die Verhältnismäßigkeit wird nirgendwo geprüft, in den meisten Fällen ist nicht einmal ein Richtervorbehalt gefordert (nicht dass der viel bringen würde).

Mit den Passwörtern z. B. für Facebook, Google- und E-Mail-Accounts können die Behörden dann weitere Überwachungsmaßnahmen durchführen, z. B. über Facebook den Freundeskreis ausforschen, E-Mails mitlesen, eine Onlinedurchsuchung bei Online-Speicherdiensten machen,  über den Play-Store Schadsoftware auf Android-Geräte installieren, mit der PUK die auf einer SIM-Karte hinterlegten Kontakte und SMSen lesen, mit dem Google-Accountpasswort die Bildschirmsperre eines Android-Handies aufheben. Ob sie das dürfen, dürfte die Behörden nicht interessieren. (Siehe z. B. illegaler Einsatz des Bayerntrojaners). Die strengeren rechtlichen Anforderungen für Überwachungsmaßnahmen wie die TKÜ werden somit komplett unterlaufen.

Durch die Massenabfrage von IP-Adressen können Massen-Überwachungsaktionen durchgeführt werden. Die rechtswidrige, aber trotzdem regelmäßig durchgeführte Überwachung und Zurückverfolgung von Internetnutzern, die Behördenseiten besuchen, wird damit viel einfacher und dürfte massenhaft eingesetzt werden. Bei solchen Aktionen gilt für viele Behörden sowieso das Motto „Legal, illegal, scheißegal“ – die Überwachung in NRW fand auch statt, nachdem das ausdrücklich für rechtswidrig erklärt worden war. Dank automatischer Schnittstelle wird massenhafter Missbrauch ala Dresdner Handydatenskandal viel leichter und unauffälliger.

Wer es selbst nachlesen will: Das Gesetz wurde nach anfänglicher Kritik geändert, sodass jetzt ein Originalentwurf und ein Änderungstext existiert, falls ich eine zusammengefasste Version finde, werde ich den Link hier nachtragen. (Edit: hier findet sich eine von Freiwilligen erstellte Version – Danke!)

Es handelt sich um ein Zustimmungsgesetz (das erkennt man übrigens an der Formulierung „Der Bundestag hat mit Zustimmung des Bundesrates…“ im Gesetzesentwurf). Ohne die Zustimmung im Bundesrat kann die Bundesregierung das Gesetz also nicht beschließen, und dort hat sie keine Mehrheit. Leider hat die SPD bereits versprochen, das Gesetz und damit diesen eklatanten Grundrechteabbau zu unterstützen, und verkauft das als „wichtigen Kompromiss„, weil sie es geschafft haben, einige kleine Verbesserungen einzubringen. Das ändert aber nichts daran, dass die Bestandsdatenauskunft inakzeptabel ist, und die SPD diesen Grundrechteabbau ohne Not und freiwillig mitträgt. Vielleicht überlegen sich einige Landes-SPDs ja noch, ob sie da mitmachen wollen, wenn sie merken, dass die Öffentlichkeit zuschaut.

Deswegen finden bundesweit friedliche Demos in über 25 Städten statt. Los geht es bereits dieses Wochenende (bundesweiter Aktionstag ist der 14.4., einige Städte fangen schon früher an), die zweite Runde gibt es am 27.4. (auch hier machen einige Städte die Demos schon früher). Die genauen Orte finden sich z. B. im Protestwiki. In Frankfurt am Main fängt die Demo am 14.4. um 13:00 Uhr am Römer an. (Nazis sind bei den Demos übrigens ausdrücklich nicht willkommen.)

Kommt nicht nur zu den Demos, sondern weist auch andere Leute auf die Bestandsdatenauskunft und die Demos hin, und fordert sie auf, ebenfalls Leute mitzubringen und auf die BDA hinzuweisen! Aktuell ist das Thema selbst unter politisch aktiven Informatikern viel zu wenig bekannt, da die Medien bisher kaum darüber berichtet haben.

Bestandsdatenauskunft ist Scheiße – und nun?

Es gibt einige Leute, die der Meinung sind, wir müssten Alternativen zur BDA aufzeigen, um sie kritisieren zu dürfen, und die Ermittlungsbehörden würden solche Befugnisse brauchen, um uns vor Kriminalität zu schützen. Das ist im Fall der Bestandsdatenauskunft reiner Unsinn. Die Bestandsdatenauskunft in der jetztigen Form missachtet sämtliche rechtsstaatlichen Grundsätze, pfeift auf Verhältnismäßigkeit, und erlaubt nahezu beliebigen Behörden, nahezu beliebige Bestandsdaten inkl. Passwörtern abzugreifen – außer bei den Passwörtern sogar ohne jegliche richterliche Kontrolle!

Als Piraten und Bürgerrechtsaktivisten ist es nicht unsere Aufgabe oder Pflicht, Vorschläge für „bessere“ Überwachungsgesetze zu schreiben, und ich bin maßlos enttäuscht von jedem, der ohne das Problem wirklich verstanden zu haben, die darin enthaltenen Überwachungsbefugnisse kleinredet und das Gesetz verharmlost (ja, tarzun, das gilt insbesondere für Leute die im Piratenvorstand sitzen) und so die Salamitaktik des stetigen Grundrechteabbaus unterstützt.

Wir brauchen aktuell keine weiteren Erweiterung der Rechte der Ermittlungsbehörden, sondern erstmal ein Freiheitspaket, was die katastrophalen Änderungen der letzten 20 Jahre rückgängig macht. Weiterhin brauchen wir Ermittlungsbehörden, die Befugnisse und Möglichkeiten nicht missbrauchen, und bei denen Missbrauch ernsthaft geahndet wird. Wenn wir Ermittlungsbehörden haben, die sich zuverlässig an geltendes Recht halten, dann und erst dann können wir darüber nachdenken, ihnen die und nur die Befugnisse zu geben, die sie zur Erfüllung ihrer Aufgaben zwingend benötigen, unter Einhaltung aller machbaren Vorsichtsmaßnahmen. Eine automatische Identifizierung von Internetnutzern ist unnötig, und es gibt keine Rechtfertigung dafür, irgendeine derartige Maßnahme ohne wirksamen Richtervorbehalt einzuführen.

Die BDA wäre auch dann abzulehnen, wenn Passwörter nur bei Verdacht auf bestimmte Straftaten abgefragt werden dürften, denn wer verdächtig ist, ist noch nicht schuldig. Ein Verdacht hebt das Grundrecht auf Privatsphäre nicht auf. Natürlich wäre es für die Behörden hilfreich, wenn sie alles dürften. Das darf in einem Rechtsstaat aber nicht das Kriterium sein.

Selbst wenn eine Erweiterung der Befugnisse der Behörden für sinnvoll erachten würde, kann die Diskussion darüber nicht auf Basis eines völlig überzogenen, verfassungswidrigen Gesetzes geschehen. Denn das ist die übliche Taktik „das zehnfache des Sinnvollen fordern, um am Ende das doppelte zu bekommen“. Das kann man sich etwa so vorstellen:

Regierung: „Hey, ich werde dir zehn Backsteine in den Arsch schieben“
Bürger: „WTF? NEIN! WAS FÄLLT DIR EIN!“
Regierung: „Ok, du hast gewonnen. Zwei sind ein fairer Kompromiss!“
Bürger: „Hm, immer noch scheiße, aber naja…“ *bück*

Deswegen kann es über die Bestandsdatenauskunft keinerlei Debatte geben, außer die Forderung nach kompletter Ablehnung. Wir müssen auch keinen „Gegenvorschlag“ für weitere Überwachungsgesetze machen. Unser Gegenvorschlag lautet: Die Grundrechte achten und bewahren!

Wenn wir nicht für unsere Grundrechte kämpfen, wenn wir dieses Gesetz ohne massiven Widerstand durchgehen lassen, dann war das nur der Anfang – dann folgen noch dreistere Gesetze, bis „Privatsphäre“ nur noch in Geschichtsbüchern zu finden ist.

Massenüberwachung des Internets dürfte ein Fakt sein

Eine Firma hat laut Golem ein Storage-System gebaut, was 10.000.000 Terabyte (!) speichern kann. Wir reden hier nebenbei von ca. 5 Mio. Festplatten nach Angaben der Firma. Der wirklich interessante Teil sind aber folgende Aussagen:

Angesichts des steigenden Internettraffics geht Cleversafe davon aus, dass es 2015 Unternehmen geben wird, die Datenmengen von 80 Exabyte pro Monat analysieren müssen.

sowie der Schlusssatz

Zu den Investoren von Cleversafe gehört unter anderem auch die CIA-Tochter In-Q-Tel.

Im Prinzip steht da unverblümt, dass es „Unternehmen“ gibt, die Internettraffic in großen Massen analysieren. Cisco prognostiziert, dass Ende 2015 der Internettraffic pro Monat *trommelwirbel* 80 Exabyte betragen wird. Es deutet also vieles darauf hin, dass die CIA sämtlichen Traffic global überwacht oder überwachen will, und sich nicht mal sonderlich bemüht, das geheimzuhalten.

Das massiv geschnüffelt wird, ist seit ECHELON eigentlich öffentlich und unbestritten bekannt, auch wenn man es immer wieder gerne verdrängt. Dieses Ausmaß könnte aber vielleicht doch überraschen.

Gleichzeitig gibt es eine Firma namens D-Wave Systems, die behauptet, einen 128-Qbit-Quantencomputer kommerziell anzubieten. Die Behauptung ist natürlich kontrovers und kann durchaus sein, dass es sich dabei um einen Fake handelt. Wären aber derartige Quantencomputer tatsächlich auf dem zivilen Markt erhältlich, wäre meiner Meinung nach davon auszugehen, dass Geheimdienste bereits jetzt leistungsfähige Quantencomputer mit genug Qbits haben, um gängige Schlüssellängen bei RSA und Diffie-Hellman zu brechen. Damit dürften alle gängigen Verbindungen, die asymmetrische Kryptographie nutzen, inklusive solcher, die eigentlich Perfect Forward Secrecy haben, gebrochen sein, auch rückwirkend bezogen auf den in der Vergangenheit gesammelten Traffic.

Als Sahnehäubchen könnte man jetzt noch die Fortschritte bei der Spracherkennungstechnologie nennen, die bereits im zivilen Bereich Transkripte von Anrufbeantworternachrichten erstellt. Das kann man natürlich auch wunderbar verwenden, um Transkripte von abgehörten Gesprächen zu erstellen und sie so maschinenlesbar zu machen.

Schöne neue Welt, nicht?

Der paranoide Hacker

Eine kurze, fiktive Geschichte zur Anonymität im Netz

Ein junger Hacker steigt nachts an einem Vorstadbahnhof in seinen Regionalzug ein. Müde lässt er sich im komplett leeren Waggon auf einen der Sitze fallen. Als er seinen Rucksack auf den Boden stellen will, fällt ihm ein Schnellhefter auf, der auf dem Boden liegt. Vorsichtig hebt ihn auf. Er sieht sich um, weit und breit niemand zu sehen. Die erste Seite ist leer mit einem roten diagonalen Streifen, doch als er umblättert, sieht er sofort die großen Markierungen in roter Farbe: GEHEIM – amtlich geheimgehalten.

Beim Blättern sieht er, dass es sich um genaue Pläne zum Aufbau einer totalen Überwachung und Zensur des Internets handelt. Ihm ist klar, dass das Material so schnell wie möglich an die Öffentlichkeit muss. Er macht sich jedoch keine Illusionen – wenn derjenige erwischt wird, der das Material veröffentlicht hat, wird ihm das nicht gut tun. Nervös sieht er sich um. Keine Überwachungskameras im Zug. Am Bahnhof, wo er eingestiegen ist, auch nicht, und seitdem fährt der Zug durch den Wald. Gesehen hat ihn niemand. An seinem Heimatbahnhof wird um diese Uhrzeit auch niemand sein, und die einzige Überwachungskamera dort wurde noch nicht repariert, seit er sie eigenhändig sabotiert hat. Sein Handy hatte er eingeschaltet auf dem Schreibtisch vergessen.

Er packt seine Digitalkamera aus und stellt erfreut fest, das der Akku noch fast voll ist und die Speicherkarte noch mehr als genug Platz bietet. Er vergewissert sich nochmal, allein im Waggon zu sein und fotografiert die Seiten ab. Dann lässt er die Akte in seinem Rucksack verschwinden. Er weiß, dass um diese Zeit eine Station nach der, wo wo er aussteigt, jede Menge hoffnungslos betrunkener Fußballfans auf ihren Zug warten, die den Zug meist übel zurichten – wenn jemand die Akte vermisst, wird er sie zuerst bei denen suchen.

Als er aus dem Zug aussteigt, überlegt er, wie er die Akte loswerden könnte. Er nimmt das Papier aus dem Schnellhefter, wirft beides in einen Papierkorb am verlassenen Bahnsteig und zündet ihn an. Brennende Papierkörbe sind in der Gegend nichts, was irgendwie auffällig wäre. Mit einem Stock zerkleinert er die Asche. Zufrieden sieht er beim Weg nach Hause die Überwachungskamera, die immer noch eine dicke Schicht schwarzer Farbe auf der Linse hat, und freut sich, dass der aufziehende Regen nicht nur viele Spuren verwischen wird, sondern auch die Asche im Papierkorb endgültig in eine schmutzige Brühe verwandelt.

Daheim angekommen, packt er die Digitalkamera aus, startet eine Live-CD, um keine Spuren auf der Festplatte zu hinterlassen, und entfernt sorgfältig die EXIF-Daten in den JPEG-Dateien. Die bereinigten Kopien landen wieder auf der Speicherkarte, und zwar auf oberster Ebene, falls der Browser den Pfad mitsendet. Dann versteckt er die Speicherkarte und wartet einige Tage ab, bevor er wieder von der Live-CD startet. Kurze Zeit später hat er sich über TOR zu einer kostenlosen JAP-Kaskade verbunden. Nachdem er nochmals mit einem Hexeditor überprüft hat, dass die Bilder keine EXIF-Metadaten mehr enthalten, startet er einen BitTorrent-Client, welcher wahllos über seine Anonymisierungskette Daten hoch- und herunterlädt, um Traffic zu erzeugen. Er lädt die Bilder bei einem Bilderhoster hoch und schickt die Links über einen anonymen Web-to-News-Dienst an einige Newsgroups. Danach überschreibt er die Speicherkarte 35 mal mit Zufallsdaten. Er überzeugt sich in den Logs der Firewall, dass nichts auch nur versucht hat, an der Anonymisierungkette vorbei Daten zu versenden, schaltet den Laptop aus, trennt ihn vom Netz und entfernt den Akku. Sicherheitshalber entnimmt er die Speicherkarte, legt diverse viel zu hohe Spannungen daran an, schlägt sie klein und spült die Reste in der Toilette herunter. Dann startet er wieder seinen Rechner und wirft memtest86 an, bevor er sich schlafen legt. Die ganze Nacht lang regnet es in Strömen.

Eine Woche später ist im Internet eine hitzige Diskussion über die Dokumente entbrannt. Trotzdem wiedersteht der paranoide Hacker der Versuchung, auch nur die geringste Andeutung zu machen, die ihn verraten könnte. Zufrieden grinsend will er sich übermüdet ins Bett legen – es ist schließlich schon sechs Uhr früh -, als jemand an der Tür klopft. Bevor er zur Tür kommt, kommt diese ihm schon mit lautem Splittern entgegen. Zwei Stunden später, vor Müdigkeit inzwischen alles doppelt sehend, wiederholt er auf dem Polizeirevier auf jede Frage immer wieder den Satz „Ich mache von meinem Aussageverweigerungsrecht Gebrauch.“

Durch welchen Fehler hat der Hacker seine Anonymität zerstört, wie ist man ihm auf die Schliche gekommen? Welchen Sinn hatten die einzelnen Schritte, die er unternommen hat? (Antworten bitte über die Kommentarfunktion.)

Ich rechne damit, dass es mehr als eine Lösung geben wird, da ich sicher auch nicht an alles gedacht habe. Die Geschichte und die (hoffentlich zahlreichen) Antworten sollen zeigen, dass wirklich gute Anonymität schwer zu erreichen ist, und ein paar wenig Punkte aufzeigen, an denen sowas schief gehen kann.

Wusstest du, …
… dass Browser beim Dateiupload den Dateinamen oder auch den ganzen Pfad mitsenden können?
… dass oft daran gedacht wird, die digitalen Spuren zu verwischen, die analogen (Fingerabdrücke, Zeugen) aber oft vergessen werden?
… dass viele Leute erwischt werden, weil sie prahlen oder sich verquasseln und dabei Täterwissen zeigen?
… dass Arbeitsspeicher teilweise noch Minuten nach dem Ausschalten nicht komplett gelöscht ist?
… dass verbrannte Dokumente oft noch rekonstruierbar sind, wenn die Asche nicht bewegt wurde?
… dass man bei der Polizei immer von seinem Aussageverweigerungsrecht Gebrauch machen sollte?

Leben unter Überwachung – ein Erfahrungsbericht

Vor kurzem ist eine Studie erschienen, die besagt, dass die Totalüberwachung der Telekommunikation (in Form der Vorratsdatenspeicherung) das Verhalten beeinflusst. (Diese wurde zwar vom AK Vorrat bezahlt und dieser hat natürlich die „interessanten“ Teile der Ergebnisse bevorzugt in die Zusammenfassung übernommen, aber die Studie wurde immerhin von Forsa gemacht.) Aus diesem Anlass möchte ich hier nun in einem ganz persönlichen Erfahrungsbericht schreiben, wie eine Totalüberwachung meines Internetzugangs Einfluss auf mein eigenes Verhalten hatte – denn eigentlich hätte ich gedacht, dass der Effekt nicht so groß ist, wurde dann aber eines Besseren belehrt.

Ich lebte mehrere Jahre lang an einem Ort, den ich im Nachhinein gerne als halbwegs realistisches Staatsmodell in klein ansehe, mit gewissen totalitären Tendenzen. Eine dem Hackerparagraphen entsprechende Regelung existierte dort schon Jahre bevor in der Politik darüber diskutiert wurde. Der einzige Internetzugang an diesem Ort war über das dort bereitgestellte Netzwerk möglich. (Die Internetzugänge über die Mobilfunknetze waren damals unbezahlbar und der Empfang war an dem Ort wohl so oder so zu schlecht, die Nachbarn haben es irgendwann fertig gebracht, ihr WLAN zu sichern, eigene Telefonanschlüsse waren ebensowenig möglich wie das Aufstellen von Satellitenschüsseln, und bevor jemand noch „bessere“ Ideen hat: dieser Ort liegt am Arsch der Welt und Kooperation war von den Nachbaren nicht zu erwarten.)

Dieser Internetzugang dort war stark eingeschränkt. HTTP und HTTPS (also Zugang zu normalen Webseiten) war nur über einen Proxy möglich, welcher jeden einzelnen Zugriff protokollierte. Der E-Mail-Verkehr über POP3 wurde (per „Man-in-the-Middle“-Virenscanner) auf Viren und Spam geprüft, wodurch E-Mails verändert (Betreffzeile wurde mit „[SPAM]“ versehen) oder gelöscht (wenn der Virenscanner dachte, einen Virus entdeckt zu haben) wurden. Dieses Verfahren ließ sich zum Glück durch den Einsatz verschlüsselter Verbindungen umgehen, aber es wird deutlich, wie „angenehm“ es war, diesen Internetzugang zu nutzen – der aber leider, wie gesagt, die einzige Option war. Der Zugriff auf IMAP war zum Glück problemlos möglich, fast alle anderen Dienste waren in der Firewall gesperrt. Die „Große Firewall“ in China ist deutlich weniger streng (dafür musste man hier beim Versuch, die Sperren zu umgehen „nur“ mit Verlust des Internetzugangs rechnen und nicht damit, verschwunden zu werden).

Sämtliche Zugriffe auf Webseiten wurden protokolliert, und der Administrator nahm es mit dem Datenschutz nicht sehr genau. (So musste ihm erst der Landesdatenschutzbeauftragte erklären, dass es nicht in Ordnung ist, Keylogger auf sämtlichen unter seiner Kontrolle stehenden öffentlichen Internetterminals zu installieren.) Ich ging daher davon aus, dass der Admin unter Umständen auch mal einfach so die Zugriffsprotokolle liest und schaut, wer was im Internet gemacht hat. Es stand nicht fest, dass der Admin das so macht, es bestand lediglich die Möglichkeit.

Dennoch haben ich gemerkt, wie ich bestimmten Themen überlegt habe, ob ich das jetzt wirklich bei Google suchen oder in der Wikipedia nachschlagen möchte – immer im Hinterkopf „Was wird der Typ denken, wenn er die Logs liest?“ – obwohl es meist um völlig banale Dinge ging. Keine dieser Sachen war in irgendeiner Art illegal, es könnte nur als peinlich angesehen werden, in dem Bereich Wissenslücken zu haben, oder der Zugriff konnte leicht missverstanden werden. Einige der Suchen habe ich auch bleiben lassen, oder auf Zeitpunkte verschoben, an denen ich diesen Ort verlassen hatte und zurück in der „freien Welt“ war.

Natürlich war das Ganze auf Dauer kein tragbarer Zustand, zumal der Jugendschutzfilter im Proxy auch grundlos Webseiten (wie z. B. stern.de) sperrte und Fehler verursachte. Den technisch bewandteren Lesern dürfte der Begriff „SSH“ etwas sagen. Damit ist es unter anderem auch möglich, einzelne Verbindungen verschlüsselt über einen externen Server weiterzuleiten. Ich richtete einen Computer bei mir daheim ein, welchen ich über Wake-on-LAN über das Internet einschalten konnte (ein Dauerbetrieb kam aus mehreren Gründen nicht in Frage). Damit konnte ich bei dringendem Bedarf mit etwas Einstellungsaufwand Webseiten aufrufen, ohne dass dieser Zugriff protokolliert werden konnte. Später verlagerte ich den SSH-Server auf meinen DSL-Router (Fritz!Box), womit das Umschalten auf die „freie“ Verbindung deutlich weniger Aufwand war und immer häufiger benutzt wurde. Für die „problematischen“ Zugriffe machte ich mir dann oft die Mühe umzuschalten, wodurch ich deutlich freier in meinem Nutzungsverhalten wurde – dennoch überlegte ich immer: Will ich das jetzt direkt suchen, oder mir die Mühe machen und auf die sichere Verbindung umstellen – oder lass ich es doch bleiben?

Noch später richtete ich ein VPN mittels OpenVPN ein. Ab da konnte ich mit wenigen Klicks sämtlichen Internetverkehr (nicht nur die Zugriffe auf Webseiten) über einen verschlüsselten „Tunnel“ über mein Heimnetzwerk leiten, wodurch der Proxy nicht mehr protokollieren konnte, welche Webseiten ich aufrief. Es ist unglaublich, welche befreiende Wirkung es hatte, als das OpenVPN-Icon auf der Taskleiste grün leuchtend anzeigte, dass ich endlich wieder das Internet nutzen konnte, ohne dass jeder Schritt jederzeit überwachbar war.

Die Vorratsdatenspeicherung geht zum Glück bei Internetzugriffen (noch) nicht so weit, jeden Webseitenaufruf zu protokollieren. Bei Telefonkommunikation gibt jedoch die angerufene Nummer (und diese wird protokolliert) oft schon ähnliche Informationen, wie ein Webseiten-Zugriffsprotokoll. Es dürfte sogar eindeutiger sein, wenn jemand dabei beobachtet wird, z. B. eine AIDS-Beratungsstelle anzurufen, als wenn er in Google nach „aids heilungschancen“ sucht. Im Vergleich zu diesem Beispiel waren meine Zugriffe harmlos, und trotzden wurde ich teilweise davon abgeschreckt. Ohne es selbst erlebt zu haben, hätte ich niemals gedacht, dass dieser Effekt in ernstzunehmendem Maß eintritt. So aber will ich mir gar nicht erst vorstellen, welchen Einfluss die Vorratsdatenspeicherung haben muss, wenn es nicht nur um vergleichsweise harmlose Suchanfragen ohne ernsten Hintergrund geht, sondern um irgendwelche Selbsthilfe-, Beratungs- und Seelsorge-Hotlines – oder um die Organisation politischer Aktionen, wenn das gesellschaftlich nicht akzeptiert ist (egal ob das daran liegt, dass die Demokratie zerfällt und eine totalitäre Partei herrscht oder nur daran, dass man gerade in der falschen Gegend in Bayern ist).

Den direkten Zusammenhang zwischen Überwachung und Freiheit kann ich also vollends bestätigen, das Motto „Freiheit statt Angst“, unter dem die Demonstrationen gegen die Vorratsdatenspeicherung laufen, ist keineswegs übertrieben oder unpassend.

(Im Nachhinein stellte sich übrigens heraus, dass der Admin tatsächlich regelmäßig grundlos die Protokolle las. Und sich wunderte, dass ein Computerfreak wie ich das Internet nicht bzw. kaum zu nutzen schien. Er dürfte sich seinen Teil gedacht haben. Und er hat wohl korrekt erfasst, dass es besser war, nichts gegen meinen Tunnel in die Freiheit zu unternehmen.)

Freunde und Helfer

Die Polizei sollte eigentlich die Rechte der Menschen schützen und den Menschen helfen, wo es nur geht. Leider sind in letzter Zeit gehäuft Fälle aufgetaucht, wo die Realität „etwas“ anders aussah.

Fangen wir mal mit einem von der MDR-Sendung „Fakt“ recherchierten Fall an. (Zu Bedenken ist, dass solche Sendungen gerne übertreiben und man sich also auch bei den öffentlich-rechtlichen nicht unbedingt auf die Neutralität der Recherche verlassen kann. Allerdings bezweifle ich, dass eine solche Sendung bedeutende Fakten dazuerfindet und sehe sie als ausreichend verlässliche Quelle an. Zur Sicherheit möchte ich aber darauf hinweisen, dass ich nur die Informationen aus dem Fakt-Beitrag verarbeitet und nicht selbst tiefgreifend recherchiert habe.)

In Bayern ist man verdächtig, wenn man sagt, dass die für den Papstbesuch ausgegebenen 40 Millionen hätten sinnvoller genutzt werden können. Wenn man sich schon so äußert, ist doch auch völlig klar, dass man das Geburtshaus des Papstes mit blauer Farbe bespritzt hat, oder? Und jemand, der so eine schreckliche Tat begeht, ist ein gemeingefährlicher Terrorist, dessen Haus sofort mit einem SEK (15 Mann in schussicheren Westen und mit MP5s) durchsucht werden muss – völlig klar, oder? Aber die eigentliche Härte kommt noch (als ob es schon nicht genug wäre, eine Familie mit einem SEK aufzumischen, nur weil der Familienvater seine weder extremistische noch sonstwie „bedenkliche“ Meinung geäußert hat). Die völlig verängstigten Kinder (6 und 10 Jahre als) werden erstmal von ihren Eltern getrennt und von den Polizisten in Kampfausrüstung ausgefragt. Aber das ist immer noch nicht das Schlimmste: Als die Mutter gesagt hat, dass sie von der Situation ziemlich überfordert ist, hat der Polizist endlich mal zugegeben, wozu solche Maßnahmen wirklich dienen:

„Aus diesem Grunde machen wir das, damit die Leute von der ganzen Situation her überfordert sind und dann Sachen ausplaudern, die sie sonst nicht sagen würden.“

Die Polizei gibt also offen zu, dass sie solche Durchsuchungen mit dem Ziel durchführt, Menschen einzuschüchtern und ihrer Grundrechte (z. B. Aussageverweigerungsrecht) zu berauben. Nicht, dass diese Information was neues ist, allerdings ist es wohl das erste Mal, dass ein Polizeibeamter das zugibt.

Noch nicht genug? Na dann weiter. Nachdem die Band „Mono für alle!“ für ihren Song „Amoklauf“ vom BKA überwacht und fertiggemacht wurde, hat sie sich einen Anwalt genommen. Die Wohnräume dieses Anwalts wurden nun durchsucht, angeblich wegen Begünstigung in einem anderen Verfahren. Neben der naheliegenden, aber nicht nachweisbaren Vermutung, dass diese Durchsuchung eine Strafaktion für die Verteidigung der Band sein könnte, finde ich aber besonders bemerkenswert, wie die Hausdurchsuchung verlief (Quelle ist der oben verlinkte Heise-Artikel):

Nach Einschätzung des Vermieters erfolgte die Durchsuchung sehr oberflächlich. Es seien keine Gegenstände sichergestellt worden. Indes sind laut dem Anwalt Manipulationen an seinem Rechner vorgenommen worden. Diese müssten nun von einem Sachverständigen überprüft werden, weil der Computer überwiegend an den Wochenenden auch beruflich genutzt werde. Insgesamt sei der Eindruck entstanden, dass es nicht um das Auffinden von Akten, sondern um die Ausforschung seines persönlichen Lebensbereiches gegangen sei.

So sieht also ein Rechtsstaat aus.

Zum Abschluss möchte ich noch den Bericht eines Bloggers über seinen Aufenthalt in London und seine dortigen Erlebnisse mit den Sicherheitsbehörden erwähnen. Der Bericht zeigt, wie Menschen mehr Angst davor haben, von Polizisten grundlos erschossen zu werden, als vor Terrorismus. Wie „verdachtsunabhängige“ Stichproben bei jedem, der fotografiert durchgeführt werden. Inklusive gründlicher Protokollierung des Aussehens, trotz dutzender Überwachungskameras übrigens. Von geheimen Verboten. (Nur mit Blitz fotografieren ist laut Schild verboten, in Wirklichkeit sind aber alle Fotos verboten und das Verbot dient dazu, dass man die Fotografierer, die ja sicher Terroranschläge vorbereiten, drankriegen kann.) Inklusive verdachtsunabhäniger Durchsuchung – sehr sinnvoll, schon allein wegen der interessanten Zufallsfunde (nach Aussage des Polizisten!). Wem das nicht gefällt, der wird festgenommen, denn verdachtsunabhängige (aka grundlose) Durchsuchungen darf die Polizei in Großbritannien immer machen. Schön, oder? Und wenn Schäuble so weitermachen kann, wird es hier bald mindestens genauso schlimm sein.

Na, immer noch nicht genug? Es ist genug für alle da:

Nachdem bekannt wurde, dass ein Amoklauf am Georg-Büchner-Gymnasium in Köln geplant gewesen war (die „Täter“ hatten die Pläne längst aufgegeben) und sich einer der Amoklaufplaner nach einem Verhör das Leben genommen hatte, wurde der „Komplize“ verhört. Die Eltern durften eine Hausdurchsuchung ergehen lassen – sie hatten ja auch „freiwillig“ zugestimmt – es gab nämlich keinen Durchsuchungsbeschluss. Der nette Polizist hat den Eltern einfach erklärt:

Zwar gebe es noch keinen Durchsuchungsbefehl, aber der würde dann das ganze Haus betreffen, falls sich die B.s weigern sollten, die sofortige Zimmerdurchsuchung zu tolerieren.

Super – entweder ihr lasst uns freiwillig rein, und wir verwüsten nur das Zimmer von eurem Sohn, oder ihr besteht auf eurem guten Recht, und zur Strafe dafür verwüsten wir euer Haus. Soviel zum Thema „freiwillig“. Nochmal zur Erinnerung: Gegen die Eltern bestand kein Tatverdacht, und die Polizei sollte eigentlich die Bürger schützen, und nicht rechtswidrig bedrohen. Und auch wie die Durchsuchung ablief, lässt einen daran zweifeln, dass man in einem Rechtsstaat lebt. Die Polizei hat das Zimmer komplett verwüstet:

Nachdem die Spürhunde und der eigens aus Düsseldorf angeforderte Kampfmittelräumdienst Robins Zimmer „durchsucht“ haben, ist es unbewohnbar. Sogar die Deckenverkleidung und der Fußboden sind herausgerissen.

Ach ja, stille und ausgeglichene Menschen, die gerne Lesen und Heavy Metal hören, sollten sich in Acht nehmen – denn sie passen in das klassische Raster eines potentiellen Amokläufers. Interessant, dass von „Killerspielen“ nicht die Rede ist, dafür aber vom Lesen. Es ist wohl populärer, zu behaupten, dass die bösen „Killerspiele“ an einem Amoklauf schuld seien, als solche Behauptungen über die guten Bücher von Plato oder Nietzsche aufzustellen. (Das war übrigens die Lieblingslektüre von Sturmgeist89 (siehe hier unten links) aka NaturalSelector89 aka Pekka-Eric Auvinen – dem Amokläufer, der im November 2007 in der Jookla-Schule in Tuusula, Finnland acht Menschen tötete. Freundlicherweise hat die Welt bei ihrer Übersetzung übrigens den Bücherteil weggelassen!)

Über technischen Datenschutz

Um eine Ausweitung von Überwachung und der Verwendung personenbezogener Daten zu behindern, sollte technischer Datenschutz in folgender Form vorgeschrieben sein:

Alle Systeme, sowohl im privaten als auch im behördlichen Bereich, die personenbezogene Daten verarbeiten, müssen so ausgelegt sein, dass sie für derzeit nicht erlaubte Nutzung von Daten (z. B. Zusammenführung, Auswertung, unbefugter Zugriff) nicht mit vertretbarem Aufwand benutzt werden können – selbst wenn diese Sicherheitsmaßnahmen zusätzliche Kosten verursachen und Nebenwirkungen wie schlechte Erweiterbarkeit zur Folge haben. (Bisher tendieren derartige Schutzvorschriften dazu, „Ausnahmen“ zuzulassen, wenn solche Maßnahmen zusätzliche Kosten verursachen würden, wobei meist die Ausnahme zur Regel und somit der Schutz wirkungslos wird.) Das hieße also nicht nur ein Verbot, ein System gezielt auf Erweiterbarkeit im Bezug auf Data-Mining auszulegen, sondern sogar, eine solche Erweiterbarkeit gezielt aktiv (z. B. durch eine entsprechende Struktur der Datenbanken, an den dafür wichtigen Stellen hart im Programmcode verankerte Systeme usw.) zu behindern. Das würde verhindern, dass durch die Schaffung von eigentlich wünschenswerten Systemen gleichzeitig potenzielle Totalüberwachungsmöglichkeiten geschaffen werden. Denn wenn Schäuble nur einen Knopf drücken muss, um alle Mautdaten für die Fahndung zu verwenden, wird er eher dazu geneigt sein, als wenn dazu das gesamte System teuer quasi komplett ersetzt werden müsste. Ja, so etwas würde die Kosten bei der Verarbeitung personenbezogener Daten stark steigern – umso besser, wenn sich Datensammelei nicht mehr lohnt, ist das auch ein weiterer Schritt zum Datenschutz.

Ich plane, auf Basis dieser Idee eine Petition zu erstellen und beim Petitionsausschuss des Deutschen Bundestags einzureichen. Ideen, Vorschläge, Kommentare und so weiter sind deswegen äußerst willkommen! Insbesondere interessant wären konkrete Entwürfe, wie man z. B. das Mautsystem, Statistiksysteme und ähnliche interessante Anwendungen entsprechend dieser Richtlinien entwerfen könnte.

Drogerie „Big Brother“

Ich war gerade in einer dm-Drogerie (an der U-Bahnstation „Bornheim Mitte“ in Frankfurt, falls es jemanden interessiert), eine Kerze (Grablicht) für die Mahnwache heute abend kaufen. Während ich in der Schlange stand, habe ich es mir dann überlegt, die Kerze wieder zurückgestellt und bin gegangen. Grund: An der Decke, den hängenden Leuchten und den Wänden (!) habe ich zahlreiche Dome-Überwachungskameras (vermutlich nicht alle echt) gesehen, die teilweise in einem Zickzack-Muster mit je unter 2 Meter Abstand über einem Gang angeordnet waren. Bei 20 Stück habe ich aufgehört zu zählen, es waren mehr. Und das in einer Filiale von ca. 15×30 Metern. Nein, ich werde nicht die Ausrüstung für eine Mahnwache gegen Überwachung in einem Laden kaufen, der seine Kunden so überwacht oder ihnen zumindest das Gefühl vermitteln will, das zu tun.

Mischmasch 13 – leider schon wieder

Eigentlich wollte ich keine Mischmasch-Postings mehr schreiben, aber ich komm nicht dazu, endlich eine ordentliche Lösung für Links einzurichten und will dennoch auf einige Sachen hinweisen, die nicht die öffentliche Aufmerksamkeit bekommen, die sie eigentlich meiner Meinung nach verdienen würden. Viel zu sagen gibt es dazu aber meist nicht. Ich wiedehole: Dieses Blog ist keine Linksammlung, eine solche werde ich einrichten, wenn Zeit, Geld und Lust es zulassen. Ich will mich in Zukunft eher tieferen Analysen widmen, einges ist in Vorbereitung (warum die CDU verfassungswidrig ist, warum Stasi 2.0/Diktatur etc. in Deutschland immer noch leicht möglich ist, und mehr).

Erstmal ein Aufruf – Mahnwache gegen Überwachungsstaat:

Auch in anderen Städten (Berlin, Dortmund, Dresden, Hannover, Juist und Wetzlar) gibt es Mahnwachen gegen die Überwachung.

Es gibt bereits konkrete Pläne zum Data-Mining in den Daten aus der Vorratsdatenspeicherung (obwohl sowas natürlich nieeeee mit den Daten gemacht wird, sie sind nuuuur zur Terrorbekämpfung und werden nur in Einzelfällen und unter streeengsten Auflagen benutzt blah blah blah…). Gulli bringt es auf den Punkt, Futurezone hat einen ausführlichen Artikel.

Das BSI hat wohl gegen den Hackerparagraphen verstoßen und wurde daher angezeigt. Wird interessant.

Wie die Stasi (Version 1.0) sich darauf vorbereitet hat, über 10000 kritische Bürger bei „Bedarf“ zu isolieren. (UPDATE: Link scheinbar kaputt, neuer Link) Und das war nur auf dem Gebiet der DDR. Die BRD ist deutlich größer. Darf ich darauf hinweisen, dass auf der (übrigens entgegen der Absprachen) gründlich überwachten Anti-Überwachungsdemo je nach Angaben „nur“ 10-15 tausend Teilnehmer waren und die Onlinepetition für den Rücktritt Schäubles ca. 5000 Teilnehmer, mit Namen und Adressen, hat?

Wer sich auf der BKA-Seite über die Militante Gruppe informiert, ist Terrorist. Die IPs der Besucher wurden registriert und über den Provider soll die Identität der Besucher herausgefunden werden. In Zukunft könnte man also wahrscheinlich dafür, dass man sich informiert, eine Hausdurchsuchung abbekommen, und nicht „nur“ wenn man Worte benutzt, die auch in Bekennerschreiben dieser Gruppe vorkommen. Hier sieht man auch gut, wozu die Vorratsdatenspeicherung führt, denn nichts anderes ist das hier (die Rechtmäßigkeit sollte mal geprüft werden). Mal abgesehen davon steigert so eine Aktion das Vertrauen in offizielle Websites nicht gerade. Behörden können von mir absolut keine freiwillige Kooperation/Hilfe mehr erwarten, da sie jegliches Vertrauen verspielt haben.

Wie schlecht man von Hartz 4 leben kann, berichtet ein Blogeintrag einer Frau, die davon selbst betroffen war. Kurzzusammenfassung: Kein Platz mehr für Moral und Ehrlichkeit, keine gesunde Ernährung möglich, keine ordentliche Gesundheitsversorgung, viele nötige Sachen einfach nicht bezahlbar, man wird wie Scheiße behandelt, ein „Job“ als Versuchskaninchen wird interessant. Mal ganz abgesehen von den entwürdigenden 1-EUR-Jobs, die ich für verfassungswidrige Zwangsarbeit halte.

Die CIA verbietet offiziell Waterboarding. Daraus schließe ich, dass es bisher erlaubt war. Menschenrechte – was ist das, kann man das essen?

Und wer eine „falsche“ Meinung hat, kommt in ein Umerziehungslager.

Auf Arbeitsplätzen (und in Spielhallen) dürfen in der Regel 26° C nicht überschritten werden. In den Räumen (hessischer) Gymnasien sind 40 Grad allerdings offenbar kein Problem, Hitzefrei gibt es in der Oberstufe nicht mehr. [Sarkasmus] Bei der Temperatur macht Mathematikunterricht richtig Spaß, da kann man sich so richtig gut auf schwierige Formeln konzentrieren. [/Sarkasmus]

Freiheit-statt-Angst-Demo – Berichterstattung und Teilnehmerzahlen

Zunächst einmal vorweg, egal ob die Demo 2000, 8000, 15000 oder über 20000 Teilnehmer hatte – es ist eine Frechheit, dass in den Massenmedien fast gar nicht darüber berichtet wurde, während Merkels „Wir müssen Überwachen“-Märchen ziemlich viel Platz eingeräumt wurde. Ebenso wurde über eine Demo in Burma berichtet, die zwar durch die dort drohende Repression vielleicht interessant ist, aber eine vielfach größere Demo im Inland sollte eigenlich interessanter sein. Viele Menschen haben gar nicht mitbekommen, dass es diese Demo mit vermutlich mindestens 8000 Teilnehmern gab! Da eine gewisse Absicht zu unterstellen, liegt ziemlich nahe, und ist ziemlich bedenklich – denn wie hier gezeigt wurde, selbst so große Demos haben fast keine Wirkung, wenn Otto Normalbürger davon GAR NICHTS mitbekommt! Langsam verstehe ich auch die Leute, die lieber Stadtteile in Schutt und Asche legen, statt friedlich zu demonstrieren. Darüber wird dann nämlich wenigstens berichtet.

Ich habe mit der Pressestelle der Berliner Polizei gesprochen – genauso wie das Bürgertelefon gut erreichbar, freundlich, hilfsbereit, genau so wie es auch aussehen soll, dafür nochmal ein klares Lob!

Für die „Freiheit-statt-Angst“-Demo gibt es offenbar zahlreiche Zahlen:

Nach einer Schätzung der Polizei (je nach Quelle auch „mindestens“) 8000 Teilnehmer (mir wurde gesagt, dass die Polizei inzwischen normalerweise nicht mehr schätzt, um die Streitereien mit den Veranstaltern zu vermeiden, weil solche Zahlen immer und von allen Seiten und teils sehr extrem den eigenen Interessen „angepasst“ werden). Diese Zahl wurde mir so auch von der Pressestelle bestätigt, es kann davon ausgegangen werden, dass die Aussage „Es waren zu irgendeinem Zeitpunkt mindestens 8000 Teilnehmer auf der Demo“ als bestätigt und korrekt angesehen werden kann. Ich glaube nämlich nicht, dass gerade die Polizei einen Grund haben sollte, diese Demo künstlich aufzublähen. Im Heise-Artikel wird gesagt, diese Angaben seien später deutlich nach oben korrigiert worden, das konnte mir die Pressestelle nicht bestätigen, es sei keine weitere Zählung vermerkt.

Veranstalterangaben sprechen von mindestens 15000 Teilnehmern, Indymedia berichtet gleich von 20000. Wahrscheinlich etwas übertrieben, wie üblich.

Interessant sind aber einige Pressemeldungen, es seien 2000 Teilnehmer gewesen. Wenn schon offizielle, normalerweise eher untertriebene Zahlen der Polizei deutlich höher liegen, fragen sich viele, was es soll. Auch dafür hat die Pressestelle eine Antwort: Dies sei die Anzahl der Teilnehmer gegen Ende der Demo bzw. bei der Abschlusskundgebung. Ich war nicht da, ich weiß nicht ob die Demo derartig geschrumpft ist, es ist natürlich trotzdem eine Frechheit der entsprechenden Medien, die kleinste bekannte Zahl zu nehmen, da kann man gleich eine Großdemo zu einer Einmannaktion degradieren, indem man einfach lange genug vor- oder nachher zählt. Wenn die Demo derart geschrumpft war, kann es natürlich auch sein, dass sowohl die Polizei- als auch die Verantstalterzählungen stimmen!

Ich bitte um Berichte (per Kommentar) von Personen, die da waren und sagen können, was es mit der Größenentwicklung der Demo auf sich hat.

Kauf das und rette die Umwelt

Der Umweltschutz-Hype nimmt immer neue Formen an. Egal ob der Klimawandel echt, übertrieben oder völliger Unfug ist, der Hype ist übertrieben und die Arten, auf die er ausgenutzt wird, sind nicht mehr lustig.

Wenn mit dem Klimaschutz begründet wird, man solle ein benzinsparendes Auto kaufen, ok. Wenn damit begründet wird, dass man jetzt sofort das neueste Stromspar-Hilfsmittel braucht, welches vor dem Hype undenkbar gewesen wäre, ok. Aber jetzt soll man sich ein SodaClub-Gerät kaufen, um die Umwelt zu schützen. Wieso? Na weil ja dann die Transportkosten für das Mineralwasser wegfallen.

Bald werden dann wohl mit Hilfe des (Schein-)Arguments „Umweltschutz“ auch Digitalkameras („Durch den Verzicht auf Film schützen Sie die Umwelt“), Faxgeräte („Wissen Sie, wie viel CO2 die Postbeförderung verursacht?“), Büchereien („Die Herstellung eines Buches tötet 5 Bäume. Helfen Sie mit, unnötige Bücher zu vermeiden“) und Handy-Klingeltöne (wie man das erklären will, weiß ich nicht, aber irgendeiner Marketingabteilung fällt schon was ein) vermarktet.

Hm, so schlecht ist das Ganze ja auch nicht, Politik könnte man so eigentlich auch betreiben – wie viel Strom verbrauchen eigentlich die ganzen Überwachungskameras? Mal schauen: 4,2 Millionen Kameras in Großbritannien, noch sehr günstig geschätzte 30 Watt pro Kamera, macht 126 Megawatt, die eingespart werden könnten, wenn man alle Überwachungskameras nur in Großbritannien abschalten würde. Das entspricht ungefähr der Leistung eines kleinen Atomkraftwerks!

Demoaufruf

Für die Schlafmützen, die es verpasst haben (geht das überhaupt?): Am 22. ist in Berlin eine große Demo gegen den Überwachungswahn. Um zahlreiche Teilnahme wird gebeten, ich werde allerdings aufgrund der doch recht umständlichen und kostspieligen Anreise nicht hingehen. Sorry das es so spät kommt, stand in einem Sammelpost, der schon fast einen Monat herumliegt.

Es gibt auch eine Demo in Wiesbaden, siehe Kommentare.