Digitale Selbstverteidigung gegen Vorratsdatenspeicherung: Wie man Metadaten vermeidet

Erstveröffentlicht: 
16.10.2015

Im Eiltempo hat die übergroße Koalition die Wiedereinführung der Vorratsdatenspeicherung (VDS) beschlossen. Fortan werden Internetprovider dazu verpflichtet, Verbindungs- und Standortdaten über einen festgelegten Zeitraum zu speichern. Wir nehmen das zum Anlass, einige Tools aus dem Werkzeugkasten der digitalen Selbstverteidigung vorzustellen. Schließlich kann es keine Selbstverständlichkeit sein, die anlasslose, verdachtsunabhängige Massenüberwachung einfach hinzunehmen.

 

Die VDS kann teilweise umgangen und die eigene Datenspur auf ein Minimum reduziert werden. Zum einen macht diese Tatsache die VDS für die Bekämpfung von schwerer Kriminalität sinnlos. Zum anderen kann nur, wer sich aktiv wehrt, der VDS entgehen. Die Gefahr für die Grundrechte bleibt bestehen. Somit ist die Speicherung nicht weniger allumfassend und auch nicht weniger problematisch. Schließlich bedeutet eine anlasslose Speicherung: Selbst wenn ich mich und meine Daten schütze, bin ich darauf angewiesen, dass andere es auch tun. Damit ist es umso wichtiger, andere ǘber diese Möglichkeiten des Selbstschutzes zu informieren und sie zu unterstützen.

 

Die hier aufgelisteten Möglichkeiten und Tools bieten immerhin einen gewissen Schutz vor staatlichen genehmigten Erfassung und Speicherung. Aber natürlich haben alle Werkzeuge auch ihre kleineren und größeren Schwächen. Wer wirklich auf maximale Sicherheit angewiesen ist, muss viel Aufwand betreiben und sich sehr gut auskennen. Das geht über das hinaus, was wir in einem Beitrag darstellen können, aber die Electronic Frontier Foundation (EFF) hat eine ganze Plattform zur digitalen Selbstverteidigung ins Netz gestellt. Zwei Jahre nach den Snowden-Enthüllungen hatten wir schon einen ausführlichen Beitrag zur digitalen Selbstverteidigung veröffentlicht, nicht nur gegen die VDS.

 

Hintergrund: VDS bedeutet Metadaten-Speicherung

 

Durch die VDS werden alle Informationen gespeichert, die beinhalten, wo, wann, wie lange und mit wem ich kommuniziere. Das sagt eine unglaubliche Menge über uns aus. Welche Daten sind dies?

  • Zeit und Beteiligte eines Telefongesprächs
  • Zeit und Beteiligte von SMS-Verkehr
  • welchem Anschluss wann eine bestimmte IP zugewiesen war
  • Standorte von Mobiltelefonen beim Senden einer SMS, bei Beginn eines Gesprächs oder beim Aufbau einer Internet-Verbindung

Aus der Liste ergibt sich: Im Rahmen der VDS sind IP-Adressen, „normale“ Telefongespräche und SMS das zentrale Problem für die Privatsphäre. Die VDS erfasst jedoch nicht die Metadaten oder die Inhalte von Internet-Messenger-Diensten. Damit ist nicht gesagt, dass neugierige Behörden sich diese Daten nicht auch beschaffen können – doch werden sie jedenfalls nicht im Rahmen der VDS gespeichert.

 

Mit welchen Mitteln kann man sich nun gegen die VDS wehren? Wir konzentrieren uns hier auf die Techniken, die gezielt die bei der VDS vorgesehene Erfassung vermeiden, also die Speicherung der sogenannten „Metadaten“ oder auch „Verkehrsdaten“ („Umstände“ der Kommunikation).

 

„Normale“ SMS und Telefongespräche vermeiden

 

Smartphone-Betriebssysteme wie Android und iOS sind von den Herstellern nicht auf den Schutz der Privatsphäre ausgelegt. Daher reicht die Installation bestimmter Apps für eine wirklich komplett anonyme Kommunikation nicht aus. Android-Systeme müssen geknackt und durch Nachbauten ersetzt werden (z.B. CyanogenMod für Android-Telefone oder Replicant), um den NutzerInnen die umfassende Kontrolle über die eigenen Daten zurückzugeben – bei iOS ist ein Austausch des Betriebssystems hingegen gar nicht möglich.

 

Aber auch mit den (vorinstallierten) Standard-Betriebssystemen kann man immerhin die bei der VDS gespeicherten Metadaten drastisch reduzieren. Tipp Nr. 1, um die Menge an persönlichen Vorratsdaten zu verringern: möglichst wenig „normale“ SMS schicken oder „normale“ Telefongespräche führen.

 

Wer Apple-Geräte benutzt und andere Apple-User erreichen möchte, ist bei der VDS fein raus, obwohl Apple weiterhin selbst bestimmt, was mit den Daten geschieht: iMessage und FaceTime sind sehr gut in iOS und OS X integriert und hinterlassen keine Vorratsdaten, außerdem umgehen beide Dienste auch eine klassische Telefon-Überwachung. Apple-Jünger sollten also konsequent auf die diese Dienste setzen, um den eigenen Daten-Footprint möglichst zu verringern. Dann werden nur die Daten in Verbindung mit dem Internetzugriff – darunter auch der Aufenthaltsort beim Aufbau der Verbindung – gespeichert.

 

Auch unter Android gibt es eine Menge Anwendungen, die anonyme und verschlüsselte Kommunikation zum Ziel haben, sie sind nur meist nicht ganz so gut im Betriebssystem integriert. Nachrichten-Tools wie TextSecure und ChatSecure ermöglichen „Instant Messaging“ und sind eine Alternative zur SMS. RedPhone verschlüsselt auch Telefonate. Anonymisiertes Surfen ist mit Orbot via Orweb im Tor-Netzwerk möglich.

 

Redphone und TextSecure sind auch für iOS verfügbar: Hier heißt die App, die beide Anwendungen kombiniert „Signal“, kann aber jedenfalls bei der Voice-over-IP-Sprachqualität noch nicht mit FaceTime mithalten. Dafür kann man anders als mit iMessage/FaceTime auch mit Android-Usern kommunizieren.

 

Wer einem privaten Schweizer Anbieter trauen mag, kann für Android, iOS und Windows Phone auch auf Threema setzen. Der Quellcode der App ist zwar nicht öffentlich, sie umgeht aber als reiner Internet-Dienst immerhin die VDS und wirbt mit sicherer Ende-zu-Ende-Verschlüsselung.

 

Aus der Perspektive der VDS ist sogar WhatsApp eine gute Wahl, denn die deutschen Provider bekommen von der Kommunikation darüber nichts mit. Dafür vertraut man sich aber natürlich einer Facebook-Tochter an – und es ist offen, wann es hier mit der Ende-zu-Ende-Verschlüsselung auch zwischen verschiedenen mobilen Plattformen klappen wird.

 

Anonym bleiben mit Tor und VPN

 

Die VDS sieht vor, dass zu jeder in Deutschland vergebenen IP-Adresse der jeweilige „Anschluss“ gespeichert wird. Das erste Mittel der Wahl, um diese Speicherung ins Leere laufen zu lassen, ist Tor: The Onion Router (siehe auch unser ausführlicher Beitrag). Der Internetverkehr wird über mehrere Server geleitet, so dass sich am Ende die eigene IP-Adresse nicht mehr in Zusammenhang bringen lässt mit der Seite, auf der man surft. Inzwischen gibt es Tor sogar als Browser-Paket. Einfach herunterladen und entpacken. Mit ein wenig Sachverstand lässt sich Tor aber auch für andere Anwendungen einrichten.

 

Eine etwas weniger sichere, dafür aber meist deutlich schnellere Alternative zu Tor sind sogenannte Virtuelle Private Netzwerke (VPN). Das sind Tunnel, durch die sich der eigene Internet-Verkehr verschlüsselt zu einem Server und erst von dort ins allgemeine Internet leiten lässt – man geht quasi über den VPN-Server „ins Netz“. Andere Server, die man im Netz kontaktiert, sehen so nur den VPN-Server als Absender und wissen nicht, wer darüber zugreift. Nicht nur die Verbindungsdaten, sondern alle übertragenen Daten können so auf der Strecke bis zum VPN-Server gegen Blicke von außen geschützt werden. Ein VPN-Betreiber kennt jedoch die tatsächliche IP-Adresse – dem muss man also vertrauen. Das wiederum ist der zentrale Nachteil gegenüber Tor.

 

I2P ist ein dezentrales Netzwerk, das zwischen den NutzerInnen aufgebaut wird, um eine Ende-zu-Ende Verschlüsselung zu ermöglichen. Es ist derzeit noch nicht voll entwickelt und stellt eher eine experimentelle Ergänzung zu anderen Verschlüsselungs- oder Anonymisierungsverfahren dar.

 

Off-Topic, aber wichtig: Verschlüsselung!

 

Verschlüsselung alleine schützt nicht vor der Erfassung von Verbindungsdaten – deswegen ist sie nicht direkt eine Gegenmaßnahme gegen die Bedrohungen durch die VDS. Aus diesem Grunde möchten wir hier nur ein paar Stichworte geben, worauf man zum Selbstschutz achten sollte.

 

Das wichtigste Verschlüsselungsverfahren ist OpenPGP mit GPG: Damit lassen sich E-Mails auf allen Plattformen unkompliziert vor fremden Blicken schützen, was insbesondere die ungezielte Internet-Massenüberwachung umgeht. Nachrichten werden mit den öffentlichem Schlüssel des Empfängers verschlüsselt, so dass nur dessen privater Schlüssel sie wieder entschlüsseln und lesen kann (asymmetrische Kryptographie). Umsetzungen des OpenPGP-Verschlüsselungsstandards gibt es für Thunderbird (Enigmail-Plugin), Apple Mail (GPG-Suite), Outlook (OutlookPrivacyPlugin) und andere E-Mail-Programme. Zur Ver- und Entschlüsselung ist auch das Programm GNU Privacy Guard (GPG) notwendig, für Windows als gpg4win, für Mac in der GPG-Suite enthalten, bei den meisten GNU/Linux-Systemen vorinstalliert. Wer kein E-Mail-Programm und E-Mails im Browser abruft und schreibt, kann Mailvelope nutzen.

 

Für Kurznachrichten und Chats ist OTR (Off-the-record) die bekannteste und komfortabelste Lösung der Verschlüsselung. OTR nutzt das XMPP-Protokoll, das auch als Jabber bekannt ist. Neben der einfachen Verschlüsselung von Chats können mit Hilfe eines Plugins für Pidgin Unterhaltungen später nicht nachgewiesen werden. Wer sich kein XMPP-Programm und Konto anlegen möchte, kann auch OTR auch einfach im Browser nutzen (Cryptocat).

Zusammenstellung: Nikolai Schnarrenberger, Fabian Warislohner, kirst3n