Während sich noch alle über Zypern und das schlechte Wetter aufregen, hat die Bundesregierung neue Überwachungsgesetze beschlossen, die im Bundestag gestern brav abgenickt wurden. Eine ausführliche Zusammenfassung der geplanten Zumutungen findet sich bei netzpolitik.org, die wichtigsten Punkte dabei sind:
- Behörden erhalten die Möglichkeit, auf Knopfdruck und ohne richterlichen Beschluß die Benutzerdaten zu IP-Adressen beim jeweiligen Provider abzurufen – Hürden gibt es praktisch keine, schon bei einfache Ordnungswidrigkeiten kann der Abruf erfolgen
- Alle Dienstanbieter müssen auf Nachfrage Benutzerkennungen und sogar Passwörter und PIN-Codes (z.B. für E-Mail-Konten oder Onlinebanking) herausgeben, große Dienstanbieter wie z.B. Facebook müssen dafür sogar eine automatische Schnittstelle zur Verfügung stellen, damit der Bürger in Zukunft noch bequemer oder sogar vollautomatisch ausgespäht werden kann
- Um lästige Aufmerksamkeit zu vermeiden, hat man dem Gesetzentwurf gleich auch noch einen Maulkorberlass hinzugefügt – Anbieter dürfen weder ihre Kunden noch Dritte über die behördliche Schnüffelei informieren
Nachdem das BVerfG die Vorgängerregelung im Frühjahr 2012 als verfassungswidrig verworfen hatte, nutzt die ganz große Koalition der Bürgerrechtsfeinde (neben der Regierung war auch die SPD von Anfang an in das Beratungsverfahren mit einbezogen) die Neuauflage jetzt nicht etwa, um die von den Verfassungsrichtern geforderten Einschränkungen umzusetzen, sondern baut vielmehr die Befugnisse der Überwachungsbehörden noch weiter aus, während vorhandene Hürden wie etwa der (sowieso schon reichlich zahnlose) Richtervorbehalt weiter geschleift werden. Insbesondere der angeblichen Bürgerrechtspartei FDP kann hier -wieder einmal- hundertprozentiges Totalversagen bescheinigt werden, das obendrein naiven Zeitgenossen auch noch als „Erfolg“ angedreht werden soll.
Wer keine Lust hat, im Internet auf Schritt und Tritt von Geheimdiensten, Behörden oder auch gelangweilten Dorfpolizisten überwacht zu werden, kann allerdings selbst einiges tun, um den Schnüfflern das Leben zumindest etwas schwerer zu machen:
- Wer zum Surfen die starke Anonymisierung von TOR nutzt, kann -solange er keinen Fehler macht- praktisch kaum überwacht werden. Das ist allerdings mit einigen Komforteinschränkungen, insbesondere einer relativ niedrigen Geschwindigkeit, verbunden
- Mehr Geschwindigkeit und Komfort, dafür aber etwas niedrigere Sicherheit, bieten VPN-Anbieter wie z.B. ipredator. Allerdings muss man dem Anbieter vertrauen, dass er auch wirklich keine Daten speichert, sonst kann der Schutz schnell ausgehebelt werden.
- Bei E-Mail ist der Schutz bei großen Gratisanbietern wie GMX oder Google Mail am geringsten, da die Behörden hier private Daten automatisiert abrufen können. Ein Postfach bei einem kleineren Anbieter erschwert den Zugriff zumindest etwas, erst recht wenn der Anbieter im (außereuropäischen) Ausland sitzt. Vollständiger Schutz über die Inhalte der Kommunikation bietet die Verschlüsselung mit PGP bzw. GnuPG – Behörden können dann nur noch sehen, wer mit wem kommuniziert hat, aber der Inhalt der Mails kann nicht gelesen werden.
- Wer dagegen vertrauliche Daten zu Facebook & Co. hochlädt, dem ist eh nicht mehr zu helfen…
Hinweis an die Leser: Wenn Interesse an technischen Möglichkeiten zu Privatsphäre und Datenschutz besteht, kann ich diese Themen in Zukunft gerne ausführlicher auf ABT behandeln. Bitte hinterlasst einfach einen Kommentar, ob euch das interessiert und zu welchem Bereich (z.B. VPN oder E-Mail-Verschlüsselung oder Hosting oder was auch immer) ihr gerne mehr Artikel oder Anleitungen lesen würdet – danke!
Bildquelle: AK Vorrat
Update 22.3., 12:40: Die Abstimmung war bereits gestern. Patrick Breyer vom AK Vorrat hat bereits angekündigt, auch gegen das neue Gesetz zu klagen.
Ja, bitte! Nähere Infos zu ausländischen Free-Email-Providern („ein Postfach bei einem kleineren Anbieter erschwert den Zugriff zumindest etwas, erst recht wenn der Anbieter im (außereuropäischen) Ausland sitzt“) wäre hilfreich. Und ein paar Hints für Dummies bezügl. möglichst anonymem Hosting von Websites …
Dank im Voraus!
Eine Ergänzung hätte ich: Der Titel sollte nicht „Mit schwarz-rot-gelb in den Überwachungsstaat“ lauten, sondern „Mit schwarz-rot-gelb-grün in den Überwachungsstaat“.
Der eigentlich Klops ist die Pflicht zur Herrausgabe des Nutzernamens und des Passwortes(!). Warum das Passwort? Warum? Das ist einfach dubios. Die Behörde könnte eMails sonst erst nach einem RIchtvorbehalt abrufen, so kann sie ohne Richtervorbehalt meine Passwörter abfragen und diese dann nutzen (bzw. die Hashwerte nutzen um das Passwort herauszufinden) um sich in meinem Namen einzuloggen und dann unüberprüfbar (der Betreiber kann mich ja beim Einlog-Vorgang nicht mehr von der Behörde unterscheiden) nicht nur meine eMails senden, sondern noch Einstellungen ändern und dem Betreiber vorgaukeln, ich hätte das gemacht.
Das Recht Passwörte abzufragen ist das dubioseste Recht, das ich je gesehen habe. Es bedeutet ein Recht auf Identitätsdiebstahl. Das selbige sogar ohne Richtervorbehalt möglich ist schlägt dem Fass die Krone aus.
Gerne würde ich auch eine Liste über empfehlenswerte VPN Anbieter lesen (gratis und premium). In diversen Foren wird ja seit geraumer Zeit der Dienst Hide.io stark beworben. Aber wer weiß, was dieser überhaupt taugt.
Interessant fände ich auch Alternativen zu VPN Anbietern, wie beispielsweise Hotspot Shield.
Hat jemand den Aprilscherz in der aktuellen c´t gelesen? Der ist in diesem Zusammenhang gar nicht mehr so witzig…
Es ist recht unwahrscheinlich, dass tatsächlich Passwörter zu Mailkonten abgefragt werden, denn einerseits speichern sicher auch die Mail Service Provider gut verschlüsselt, andererseits ist es nicht notwendig, denn über interne Wartungsschnittstellen (die können vollautomatisiert, aber auch schlicht ein Support-Mensch sein, der ein Postfach aus der Datenbank dumpt) besteht immer Zugriff auf den Inhalt.
Die Tipps zum anonymen Surfen finde ich auf jeden Fall gut. Alternativ lässt sich übrigens auch folgendes machen: Man besorgt sich in einem Land außerhalb unserer Jurisdiktion einen (virtuellen) Server, möglichst mit Traffic-Flatrate. Dort richtet man sich einerseits einen Mail-Server ein (der auf einer verschlüsselten Partition liegt), andererseits verbindet man sich über einen SSH-Tunnel mit einem dort installierten Proxy. Künftig macht man Datenübertragung ausschließlich über diesen Tunnel – von außen sieht es dann aus, als wäre man in Panama, St. Vincent oder wo auch immer die Kiste tatsächlich steht. TOR ist leider wirklich sehr, sehr langsam, wenn auch einige der Services recht praktisch sind. Wer sehr sicher sein will, kann auch eine eigene Kaskade aus Offshore-Servern bauen, zwischen denen die Kommunikation verschlüsselt abläuft, z.B. DE St. Vincent Panama Webseite – die internationale Rechtshilfe ist wohl (noch) recht zäh.
Die Endpunkte sind aber bei bidirektionaler Kommunikation IMMER der Schwachpunkt:
– PGP/GnuPG scheitert leider häufig daran, dass auch die Gegenstelle zur Verschlüsselung bereit sein muss. Für Mail gibt es leider keine wirklich guten Alternativen. Bei Quellen-TKÜ schnorchelt der Staat die Daten dann über einen Bundestrojaner direkt nach dem Entschlüsseln ab.
– Zur allfälligen IM-Kommunikation sei gesagt, dass auch Skype etc. keine vertrauenswürdigen Kanäle (mehr) sind, auch wenn das noch gelegentlich im Netz behauptet wird. Wenn man dem Endpunkt vertrauen kann (wovon ich nicht ausgehen würde), kann man zur Sicherung der Daten bei der Übertragung Jabber mit OTR (Off-the-Records) verwenden.
– Wenn man sich einen (Bundes)Trojaner eingefangen hat, kann man seine Proxy(-Kaskade) oder VPN(-Kaskade) auch direkt abschalten. Der Trojaner bekommt es sowieso mit.
Deswegen sollte auch der erste Schritt sein, seinen Endpunkt zu härten. Die einfachste Methode ist sicherlich, erstmal kein Windows zu verwenden, genau wie Funktastatur und (die im geringeren Maße kritische) Funkmaus gegen Kabelversionen zu ersetzen. Wifi bitte nur mit WPA2 u. AES mit einem SEHR guten Passwort; Powerline ist ähnlich kritisch (strahlt wie verrückt, sollte aber AES-verschlüsselt sein) – bei beiden gilt es öfter mal das Passwort zu wechseln, etc.pp. Interessant, wenn auch nicht völlig sicher und auch nicht super bequem, sind in diesem Zusammenhang virtuellen Maschinen, z.B. als Wirtssystem ein Linux und zu jeder Sitzung wird von einem schreibgeschützten Windows-Image eine Kopie gezogen, die dann nach Verwendung in den Orkus gekippt wird.
Zu Facebook: Sehe ich nicht so. In vielen Fällen ist es nicht entscheidend, völlig anonym zu sein, sondern vor allem nicht aufzufallen. Es ist also durchaus sinnvoll, ein ganz normales Benutzerverhalten aufzuweisen, dazu gehört auch Facebook-Postings, private Twitter-Kommentare, etc. Zumal viele der Daten dort effektiv nicht weiter kritisch sind (der Staat weiß eh wo du wohnst und wie du aussiehst). Man sollte natürlich gut auswählen, was man dort veröffentlicht; der Standort deines Goldbestandes hat da nichts verloren, genauso wenig private Details über Leute die du kennst. Nicht vergessen: Bei RAF-Rasterfahndungen hat man die konspirativen Wohnungen gefunden, in dem das BKA nachgeschaut hat, werde seine Stromrechnungen bar zahlt. Es lohnt sich, die Sachen von/über Horst Herold (damals BKA-Präsident) zu lesen, z.B. bei Heise (http://bit.ly/LCriCL).
Hallo Christoph,
viele, viele gute Punkte (da wollte ich doch eigentlich noch ein paar Blogposts draus machen, menno).
Einen eigenen VPS für Surfen und Mail zu verwenden ist eine recht gute Lösung, und hat auch den netten Nebeneffekt, dämliche Ländersperren zu umgehen, z.B. bei Youtube, aber auch in der Google-Suche. Sehr empfehlenswert auch, wenn man ohne Abmahnrisiko in Piratenbucht & Co. fischen will. Allerdings erfordert die Methode fortgeschrittene Linuxkenntnisse, und hat auch einen Nachteil: Da man immer die selbe (statische) IP exklusiv verwendet, kann das Surfverhalten über lange Zeit zugeordnet werden, man muss dafür „nur“ diese eine IP auflösen (single point of failure). Bei VPN gibt es viele, die die IP(s) verwenden, und bei DSL & Co. kriegt man ja sowieso jeden Tag eine neue.
Wer sich Sorgen um die Sicherheit des Endpunktes macht, sollte zu einer Live-CD wie z.B. Knoppix greifen, Windows würde ich an dieser Stelle eher nicht empfehlen.
Facebook: seh ich genauso, vertrauliche Daten haben da nix zu suchen, ansonsten kann man es schon nutzen, sollte aber auf jeden Fall ein Addon wie Facebook Disconnect verwenden, um nicht bei jedem Aufruf einer Seite mit Like Button (leider auch hier auf ABT, das müssen wir dringend ändern) von Facebook beobachtet zu werden.
Man kann das ja alles schön kombinieren: Man hüpft über eigene Server, deren letzter Endpunkt wiederum über ein oder mehrere VPN-Gateways geht (mMn ist es aber schwierig, die Anbieter zu kaskadieren, insofern ist eine eigene kaskadierte Reihe von Proxys mit VPN-Anbieter am Ende eigentlich die beste Möglichkeit).
Eine sehr umfangreiche Liste mit VPN-Anbietern gibt es hier: http://en.cship.org/wiki/VPN
Man sollte sich dann auch noch eine virtuelle Kreditkarte irgendwo aus Zypern oder so besorgen, die man auch per Western Union aufladen kann. Damit kann man seine Nodes und den VPN-Anbieter dann auch (in Kombination mit PayPal) zahlen. Bitcoin ist das soweit ich weiß noch nicht sehr verbreitet.
Für unterwegs gibt es übrigens Prepaid-Mobiltelefonkarten. Die muss man zwar auf eine Adresse registrieren, allerdings wird diese nicht geprüft. Den Stick/das Mobiltelefon dazu sollte man aber möglichst auf einem Flohmarkt o.ä. einkaufen, damit die IMEI nicht zugeordnet werden kann; auch Elektro-Secondhand-Läden wie sie häufig von unseren migrantischen Mitbürgern betrieben werden, sind ok. Über diese Verbindung oder z.B. über das freie WLAN bei McD kann man dann über seine Kaskade surfen.
Übrigens bekommt man bei vielen Providern nach einem Reconnect keine neue IP aus einem Pool mehr, vor allem zu nennen sind hier die Kabelnetzbetreiber, aber auch z.B. die Telekom verteilt IP-Adressen je nach Anschlussart ziemlich statisch (meine VDSL-IP ist nun rund 200 Tage alt!).
Ich finde hier Facebook gar nicht so kritisch. Wie gesagt: Auffällig ist, wer gar nichts tut, was normale(TM) Leute so tun.