Dieser Text ist zuerst im Buch “Überwachtes Netz” erschienen, das als eBook für 7,99 Euro und als gedrucktes Buch für 14,90 Euro zu kaufen ist, außerdem bei netzpolitik.org.
Hast du eigentlich irgendwas an deinem Verhalten geändert nach den Snowden-Leaks?
Meine erste Reaktion auf die Frage war anfangs „Nein“. Ich habe vorher schon E-Mails verschlüsselt, benutze Browser-Add-Ons gegen Tracking durch Unternehmen; ich weiß, dass Überwachung stattfindet. Seit Jahren nerve ich meine Umgebung mit Erklärungen, warum ich keine Post von Gmail-Accounts kriegen will: Weil bekannt ist, dass Google seine Services nicht verschenkt, sondern eine Gegenleistung erwartet, nämlich Informationen über die Nutzer/innen, und dazu auch in den Mails nach interessanten Details sucht. Inklusive der Informationen über die, mit denen korrespondiert wird, auch wenn die keine Mail-Accounts bei Gmail haben.
Wenn ich darüber nachdenke, merke ich, dass nicht ganz stimmt, dass sich nichts geändert hat. Ich verschlüssele wieder mehr. Nicht nur E-Mails, in denen Telefonnummern, Adressen oder andere persönliche oder politische Informationen stehen, von denen ich denke, dass sie niemanden etwas angehen, sondern auch E-Mails mit vollkommen banalem Inhalt. Auf mehreren meiner Mailinglisten wurde darum gebeten, dass Mail-Adressen bei den Providern, bei denen durch die Snowden-Leaks bekannt wurde, dass sie Daten an die NSA weitergeben, bitte durch andere ersetzt werden mögen. Gefolgt von der obligatorischen Debatte, welche Anbieter denn besser wären: lokale kommerzielle Anbieter, weil die Daten dann vielleicht nicht durch Unterseekabel sofort bei GCHQ und NSA landen? Lieber keine kommerziellen Anbieter, weil die im Zweifelsfall nicht mitteilen würden, dass eine Strafverfolgungsbehörde vor der Tür stand und wissen wollte, wer wem wann was geschickt hat, oder womöglich dem BND die Daten direkt weiterleiten, genauso wie es in den USA passiert? Nur welche mit Servern in Island? Oder doch in den USA, weil es da keine Vorratsdatenspeicherung gibt? Ein derzeit nicht aufzulösendes Dilemma, weil wir nicht alles wissen und weil es keine gute Alternative gibt.
Natürlich gibt es kein Szenario, das vor allen denkbaren Gefahren schützt; das war schon vor den Leaks klar. Seit wir aber wissen, dass die Realität alle paranoiden Ideen lässig überholt, wissen wir etwas besser, dass wir mit etwas Aufwand zwar manchen Facetten der Überwachung begegnen können. Vor allem aber wissen wir, dass sehr viel mehr überwacht wird, als die es sich die meisten vorher vorstellen wollten.
Wenn Gartenbau verdächtig macht
Zurück zu meinem eigenen Verhalten: Ich merke, dass es einen Unterschied macht, ob ich nur vermute, dass jemand mitliest und nachschaut, für welche Websites ich mich interessiere, oder ob ich weiß, dass das geschieht. Es ist einfacher, die Vermutung zu verdrängen als das Wissen. Auch wenn es kein Mensch ist, der irgendwo sitzt und liest, ist jetzt klar, dass alles gespeichert und automatisiert durch ein Raster gezogen wird. Wie das Raster genau funktioniert, wissen wir nicht, aber dass zumindest Teile unserer Kommunikation betroffen sind, wissen wir schon. Es wird nach Auffälligkeiten gesucht; nach allem, das sich vom normalen Kommunikationsverhalten unterscheidet. Von meinem normalen Kommunikationsverhalten und vom allgemein üblichen Kommunikationsverhalten.
Verschlüsselte E-Mails werden länger aufgehoben, denn die sind verdächtig. Wenn ich mit bestimmten Menschen regelmäßig verschlüsselte E-Mails austausche und zwischendurch ausnahmsweise nicht, ist das möglicherweise auch verdächtig. Zumindest auffällig. Als Methode ist das nicht neu, aber neu ist, dass alle davon betroffen sind. Ich spüre also bei allem, was ich tue, dass mir jemand Unsichtbares über die Schulter sieht und denke darüber nach, ob ich bestimmte Websites wirklich aufrufen sollte. Ich lasse mich letzten Endes nicht davon abhalten, aber der Gedanke taucht manchmal auf. Was sind Auffälligkeiten in meinem Verhalten? Wenn ich plötzlich nach Gartenbau-Geschäften suche, obwohl ich keinen Garten habe und mich noch nie dafür interessiert habe? Oder wenn ich drei Artikel über Brandanschläge auf die Berliner S-Bahn lese und ein paar Tage vergesse, die Tabs im Browser wieder zu schließen? Können die sehen, dass ich meistens mit Google suche, aber manchmal auch nicht? Und was?
An diesem Punkt angekommen denke ich, dass ich damit aufhören sollte, Paranoia zu entwickeln. Ich bin keine muslimische Fundamentalistin und es ist unwahrscheinlich, dass ich versehentlich für eine gehalten werde. Für Aktivistinnen außerhalb der USA und Großbritannien interessieren sich NSA und GCHQ nicht besonders, und die deutschen Behörden wissen in etwa, was ich so mache. Das hilft nicht immer, schon klar, aber für die meisten stimmt es schon. Für alle aus arabischen Ländern oder mit arabischen Namen allerdings sieht es schon wieder anders aus.
Viele fühlen sich also nicht wirklich persönlich bedroht. Wir sind nicht die Terroristen, die sie suchen. Und weil alle überwacht werden, verschwinden wir irgendwie in der Masse. Es ist unvorstellbar, wie aus der Datenmenge etwas entstehen kann, das tatsächlich mich persönlich gefährdet. Dazu kommt, dass die Totalität der Überwachung und die Menge der (demokratisch legitimierten) Behörden, die darin verstrickt sind, schwer zu begreifen sind.
Bedrohlicher ist die Massenüberwachung auf einer abstrakteren Ebene für Menschen, die sich mit dem Alltag von Strafverfolgungsbehörden oder Geheimdiensten beschäftigen, für die, die besser verstehen, welche Macht in technischen Systemen liegt und für die, die sich Gedanken über politische Systeme und die Idee der Demokratie machen.
Weniger bedrohlich ist sie für Menschen, die andere, spürbarere Probleme haben; weil sie von der Wirtschaftskrise betroffen sind — viele Menschen in anderen europäischen und nicht-europäischen Ländern — oder weil sie viel direktere Formen von Überwachung erleben, z.B. Trojaner-Viren, die von Regierungen gegen die Opposition eingesetzt werden.
Wer beobachtet wird, ändert das Verhalten
Ein zentrales Problem der Überwachung für alle ist, dass wir unser Verhalten ändern, wenn wir wissen, dass wir beobachtet werden. Das ist vielfach erforscht und beschrieben worden. Damit erleben wir eine direkte Einschränkung von elementaren Freiheiten und Grundrechten, in erster Linie der Meinungsfreiheit. Das wirkt sich auf alles aus, was wir öffentlich sagen oder schreiben und natürlich auch auf Situationen, von denen wir annehmen, dass sie nicht-öffentlich sind: etwa private E-Mails und Gespräche, nicht-öffentliche Websites oder auch alle scheinbar durch Privacy-Einstellungen geschützten Online-Plattformen wie Facebook oder Flickr. Wenn wir aber nirgends den Raum haben, frei zu sagen oder zu schreiben, was wir denken und damit auch keinen Raum haben, Gedanken zu entwickeln, zu testen und zu überprüfen: Wieviel Freiheit bleibt dann noch?[*]
Ich weiß das alles und habe dennoch den Eindruck, dass sich an meinem Verhalten nicht viel ändert. Ein bisschen mehr Verschlüsselung, ein bisschen weniger Google-Suche. Ich schalte mein Smartphone öfter aus und achte darauf, dass es nicht den ganzen Tag auf meinem Schreibtisch liegt. Die Kamera an meinem Laptop war vorher schon abgeklebt, seit den Leaks lege ich auch etwas auf die Kamera meines Telefons. Ich schreibe meistens, was ich für richtig halte.
Andererseits: Wie wäre es, wenn ich sicher sein könnte, dass wirklich niemand mitläse? Bzw. meine (mehr oder weniger) öffentlichen Texte auf mögliche terroristische, kritische, auffällige Inhalte überprüfte und in unbekannte Kategorien von Geheimdienst-Datenbanken einsortierte?
Eine weitere Auswirkung sind die vielen Gespräche mit Leuten, die jetzt gern verschlüsseln würden, aber nicht wissen, wie. Dann kam die Nachricht, dass auch Verschlüsselung geknackt werden kann. Danach Gespräche darüber, ob das stimmt, in welchen Fällen das stimmt und wen das betrifft.
Mit „E-Mail made in Germany“ wollen Telekom, WEB.DE und GMX sichere E-Mail anbieten, aber was heißt eigentlich sicher? Was meinen sie mit „verschlüsselt“? Oder ist das den Leuten nicht sowieso egal, weil die sich nur kurz beruhigen und dann wieder mit was anderem beschäftigen wollen? Macht es Sinn, damit anzufangen, Leuten das Verschlüsseln beizubringen, wenn sie sich letztlich doch nicht von ihrer Webmail trennen werden und alles andere zu kompliziert finden, um es regelmäßig in ihren Alltag zu integrieren? Besser wäre, dazu beizutragen, dass die nötigen Werkzeuge einfacher zu benutzen sind. Trotzdem wird es sie nicht heute und auch nicht im nächsten Monat geben.
Die Liste der Sachen, die ich mir genauer durchlesen will, damit ich besser verstehe, worauf es bei bestimmten Sicherheitsmaßnahmen ankommt, wächst. Immerhin ist es beruhigend, zu sehen, dass Krypto-Expert/innen aller Gewichtsklassen ständig diskutieren, worauf es wirklich ankommt und sich selten einig sind, was der beste Schutz ist: Das zeigt, dass es fast unmöglich ist, alles richtig zu machen. Gleichzeitig auch beunruhigend, denn die andere Seite wirkt doch ziemlich entschlossen.
Ausgehend von dem Wissen, dass es auch digital keine absolute Sicherheit gibt, bin ich schon länger der Meinung, dass es auf jeden Fall sinnvoll ist, so viel wie möglich zum eigenen Schutz zu tun. Es ist ja auch kein großes Problem, Türschlösser zu knacken und wir schließen trotzdem hinter uns ab, in der Hoffnung, dass das zu erwartende Gefummel mögliche Einbrecher/innen eher abhält als eine weit offen stehende Tür.
Nichts zu verbergen
Früher oder später taucht jemand auf, der oder die nichts zu verbergen hat. Schon gar nicht vor der NSA oder anderen Geheimdiensten. Für diesen Fall sitzt locker in der Hosentasche ein kleines Set an Argumenten:
- die Leute, die in Mails oder in ihren Facebook-Profilen missverständliche Scherze gemacht haben und deswegen nicht in die USA einreisen durften oder gleich festgenommen wurden
- die Leute, denen etwas Ähnliches in Europa passiert ist
- die Leute, die lieber nicht wollten, dass Arbeitgeber/in oder Familie von der Abtreibung oder Affäre erfahren
- der Stalker
- die Steuererklärung
- Firmen-Interna
- der Unterschied, ob ich freiwillig entscheide, Informationen über mich weiterzugeben oder ob ich dazu gezwungen werde
Auf der anderen Seite gibt es die, die lakonisch bis überheblich erklären, dass das alles nichts Neues sei, dass sich nichts Relevantes getan hat und deswegen auch keine Notwendigkeit besteht, irgendetwas zu ändern.
Ja, wir wussten von Echelon und wir wussten auch durch die früheren Whistleblower, dass die NSA in Utah einen großen Datenspeicher baut. Eins der beliebtesten Gesprächsthemen im Bereich Computersicherheit ist die Fachsimpelei, wie viel Rechenkapazität nötig ist, um Schlüssel dieser oder jener Länge zu knacken und wie lange das dauern wird. Selten kommt in diesen Gesprächen die Frage vor, was das jeweils kostet und ob Behörden bereit und in der Lage sind, die entsprechenden Ressourcen einzusetzen. Meiner Meinung nach ist die Option, dass etwas in x Jahren geknackt werden kann, das beste Argument dafür, so viel wie möglich zu verschlüsseln, auch wenn ich davon ausgehe, dass möglicherweise in 10 Jahren diese oder jene Mail von mir gelesen wird. Denn je mehr verschlüsselt ist, desto mehr sinkt auch die statistische Wahrscheinlichkeit, dass meine Mails bei denen dabei sind, die tatsächlich entschlüsselt werden.
Und Google Earth?
Schließlich gibt es regelmäßig Diskussionen, die sich darum drehen, dass sich viel zuwenig Menschen dafür interessieren, was die Snowden-Leaks ans Licht gebracht haben. Warum gibt es in Deutschland einen Aufstand, wenn Google-Autos Häuser fotografieren, aber nicht, wenn Inhalte und Meta-Daten unserer gesamten digitalen Kommunikation überwacht werden?
Die einfache Interpretation ist, dass die Menschen eben einfältig sind und dazu von tiefsitzendem Anti-Amerikanismus beseelt. Ich halte das für falsch und zudem arrogant. Falsch, weil nicht überraschend ist, dass etwas, das sichtbar und dessen Auswirkungen damit vorstellbar sind (die Google-Autos und die Bilder der Häuser im Netz), viel mehr Angst erzeugt als die völlig abstrakte Überwachung durch NSA, GCHQ und womöglich auch den BND.
Arrogant ist es, weil wir auf demokratische Weise nur dann etwas ändern können, wenn viele etwas ändern wollen. Wir müssen nicht alle einer Meinung sein, aber wir müssen am selben Strang ziehen. Aus den beschriebenen Gründen gibt es weniger Angst vor Überwachung als angemessen wäre, aber wenn es sie gibt, dann müssen wir das nutzen, um politisch etwas zu ändern. Genauso ist es unser Job, das Abstrakte und schwer Vorstellbare an der Überwachung, die wir jetzt sehen, besser zu erklären und vorstellbar zu machen. Und unser Wissen darüber zu teilen, wie wir uns dagegen schützen können. Natürlich ist es ein Problem, dass so viele Menschen viele Informationen scheinbar freiwillig an die Unternehmen weitergeben, die direkt mit den Geheimdiensten kooperieren. Mindestens genauso so problematisch ist aber, dass das Wissen darüber, wie digitale Kommunikation und technische Netzwerke funktionieren, für viele immer noch eine Art Geheimwissen ist.
Wenn sich alle trauten, ihre scheinbar dummen Fragen zu stellen, wären wir einen großen Schritt weiter.
[*] Danke an Antje Schrupp für „Mein Problem mit Post-Privacy“
ein schöner text, danke!
als getraue ich mich: welche sind deine empfehlungen der webmail-alternativen?
Die Empfehlungen ganz allgemein finden sich im vorletzten Beitrag hier (bzw. in den Kommentaren): http://annalist.noblogs.org/post/2014/01/19/kleine-philosophie-der-digitalen-sicherheit/
Pingback: Wir sind zu faul, um nicht überwacht zu werden | Carta