„Tor-Server-Überwachung überschreitet Grenze“
Der Tor-Server, den ein Studierender der FAU betreibt, wurde von der NSA überwacht. Prof. Dr. Felix Freiling, Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen) der FAU erklärt, was es mit Tor auf sich hat und warum diese Überwachung aus seiner Sicht zu weit geht.
Das Tor-Netzwerk betreibt Server zur Anonymisierung von Verbindungsdaten im Web. Was bringt mir das als Nutzer überhaupt? Kann ich damit meine Verbindungen wirklich zuverlässig anonymisieren?
Ja. Nach aktuellem Stand der Technik kann man davon ausgehen, dass Verbindungsdaten im Netz über Tor wirksam anonymisiert werden. Das bedeutet, dass einerseits die Webseitenbetreiber nicht feststellen können, wer auf ihre Webseiten zugreift. Andererseits kann man durch die Überwachung von Internet-Vermittlungsknoten, wie sie die Geheimdienste durchführen, nicht herausfinden, wer mit wem kommuniziert.
Warum ist die NSA so scharf darauf, Tor-Server-Betreiber zu überwachen? Wie berechtigt ist aus Ihrer Sicht die Vermutung, Extremisten oder Terroristen würden diese Instrumente nutzen, um z.B. Terroranschläge vorzubereiten?
Zunächst eine Anmerkung: Es wurde die IP-Adresse eines Tor-Servers überwacht, nicht die IP-Adresse des Privatrechners des Studenten. Die IP-Adressen der meisten Tor-Server sind öffentlich verfügbar, insofern ist nicht überraschend, dass die NSA diese kennt.
Die NSA hat Interesse daran zu erfahren, wer Tor benutzt. Mutmaßlich geht sie davon aus, dass Extremisten sich Anonymität von Tor nutzen, um zu kommunizieren. Das mag sein. Da die Nutzung von Tor allerdings noch nicht so stark verbreitet ist, fällt es natürlich auch besonders auf, wenn man Tor benutzt. Wenn ich konspirativ kommunizieren wollte, würde ich das deshalb nicht notwendigerweise über Tor machen.
Gibt es aus Ihrer Sicht einen akzeptablen Kompromiss zwischen Überwachung und Privatsphäre bzw. wie können Regierungen damit umgehen, dass tatsächlich viel Kriminalität (oder Anbahnung selbiger) über das Internet ermöglicht wird?
Kriminalität gab es schon immer, und es gab schon immer Kriminalität, die nicht (effektiv) verfolgt werden konnte, entweder, weil es sich nicht lohnt – Stichwort: Bagatelldelikte – oder weil eine effektive Verfolgung massiv in Grundrechte eingreift. Beispielsweise wäre es sehr viel einfacher für die Polizei, Straftaten aufzuklären, wenn sie foltern oder sofort in jede Wohnung eindringen und diese durchsuchen dürfte. Das ist aber für die Gesellschaft nicht akzeptabel. Mit dem Aufkommen neuer Technologien muss die Gesellschaft immer wieder neu aushandeln, welche Eingriffsbefugnisse sie für akzeptabel hält und welche nicht. Im Fall des Internets ist es wichtig, dass man sich auf schwere Kriminalität konzentriert, die wirklich stark sozialschädlich ist. In diesem Kontext muss man natürlich über neue Ermittlungsmaßnahmen diskutieren – wie etwa die Online-Durchsuchung –, aber wenn viele Bürgers Angst davor haben, das Internet zu nutzen, weil jede Aktivität darin überwacht wird, ist aus meiner Sicht eine Grenze überschritten.
Was raten Sie Nutzern generell, die Ihre Daten im Web möglichst anonym halten möchten? Welche Möglichkeiten gibt es, sich zu schützen?
• Erstens: Lassen Sie sich nicht durch Schadsoftware infizieren, das heißt, verwenden Sie – wo nötig – gute Passwörter und achten Sie darauf, welche Software auf ihren Rechner kommt.
• Zweitens: Überlegen Sie bei allen Aktivitäten im Netz (sei es beim Einkaufen oder in sozialen Netzen), inwiefern Sie dem Betreiber des Dienstes vertrauen können. Bei ausländischen Anbietern und insbesondere bei kostenlosen Diensten muss man davon ausgehen, dass die deutschen Datenschutzbestimmungen NICHT eingehalten werden. Beschränken Sie dann die Daten, die Sie dort eingeben und speichern auf das, was für die Benutzung des Dienst notwendig ist. Das ist natürlich bei sozialen Netzen schwierig, aber Privatsphäre hat auch ihren Preis.
• Drittens: Wenn Sie die Wahl haben, dann verschlüsseln Sie Ihre E-Mails. Es gibt zur Einrichtung und Verwendung von E-Mails mittlerweile gute Anleitungen, etwa auf https://emailselfdefense.fsf.org/de. Aber hier könnten die Mail-Anbieter wie GMX selbst auch noch mehr machen. Größere Firmen sind da meist weiter und verwenden intern wie extern bereits E-Mail-Verschlüsslung.
• Und viertens natürlich: Fürs normale Surfen: Benutzen Sie Tor: https://www.torproject.org. Laden Sie sich den Tor-Browser herunter und verwenden Sie diesen, wenn Sie beispielsweise Nachrichten lesen oder sich allgemein informieren wollen.
*Bildnachweis: Internet1 von Rock1997 GFDL / Creative Commons Attribution-Share Alike 4.0 International, 3.0 Unported, 2.5 Generic, 2.0 Generic and 1.0 Generic Lizenz via Wikimedia Commons