Wir haben nichts zu verbergen – oder doch?

Warum wir doch – alle – mehr oder weniger etwas zu verbergen haben sollten, wird aus der Kombination eines Artikels aus  „Technology Review“ (über Heise – Link unten), einem Artikel der Süddeutschen sowie einer satirischen Webseite über die NSA deutlich.

Heise berichtet über einen Artikel des Magazins „Technology Review“ in dem die Art beschrieben wird, wie der Personenkreis definiert wird, welcher zum Ziel von Drohnenangriffen wird. Wobei wir uns verinnerlichen müssen, dass ein Drohnenangriff in diesem Zusammenhang die gezielte Tötung mindestens einer (wie auch immer) definierten Person bedeutet. Das Töten von definierten Personen wird auch als Todesstrafe bezeichnet. Es werden Todesstrafen ohne eine Gerichtsverhandlung ausgeführt. Doch dazu später mehr.

In der Süddeutschen ist heute über die Arbeitsweise des BND zu lesen:

Die britischen und amerikanischen Abhördienste fischen Daten mit dem Schleppnetz, der deutsche BND arbeitet mit einem „Harpunen-System“. Allerdings vor allem, weil ihm für alles andere Personal und Speicherkapazität fehlen. Mails mit .de am Ende und Telefonnummern, die mit 0049 beginnen, filtert der BND raus.

Na, wenn Mails mit der Topleveldomain „.DE“ rausgefiltert werden bin ich ja beruhigt. Ohh, Moment mal bitte. Wenn jetzt alle mal oben in die Adressleiste des Browsers schauen mögen: Dort steht KOEPKE.NET. Dies bedeutet, dass Mails von und an Benutzer auf meiner Domain sehr wohl mitgelesen werden können. Ist ja nicht „.DE“. Die Spezialspezialisten des BND (ein Dienst der ausschließlich für Auslandsaufklärung zuständig ist) gibt also zu – bis auf weiteres – grundsätzlich einen Anfangsverdacht gegen Nutzer meines Servers zu haben. Nur weil er eine „.NET“ Topleveldomain nutzt. Obschon der Server in Deutschland steht und ich – der Registrar der Domain – seit der Geburt deutscher Staatsangehöriger bin.

Kommen wir nun zu der alles entscheidenden Frage: WAS lesen denn die Geheimdienste denn so mit, welche elektronisch übermittelnden Daten sind denn für einen Geheimdienst interessant?

Die satirische Webseite welche sich der Arbeit der NSA (National Security Agency – ein Geheimdienst dessen Existenz viele Jahre geleugnet wurde) annimmt offenbart uns, an welchen Daten – nicht ausschließlich! – Geheimdienste Interesse haben:

  • internet searches

Ach, suchen im Internet, das ist doch egal. Kann doch jeder wissen. Ehrlich? Hast Du noch nie nach einem Begriff (vielleicht sogar ein Sprengstoffname, über den Du dich informieren wolltest, weil Du ihn irgendwo gelesen hast) gesucht? Ein Freund von mir (persönlich bekannt – nicht Bekannter eines Bekannten) hatte Besuch vom BKA, weil er – aufgrund einer Hausaufgabe seiner Techniker-Ausbildung! -nach einem Stoff suchte, der auch zum Bombenbau benötigt wird. Kann mal passieren und im Einzelfall schon einen BKA-Einsatz auslösen.

  • websites visited

Zu den aufgesuchten Webseiten gehören natürlich auch die Webseiten, auf die man mittels oben bereits angesprochenen Webseiten gelangte. Aber auch Webseiten aufgrund von geklickten Links von anderen Webseiten fallen darunter. Perfider wird es, wenn ich z.B. unaufgefordert eine Mail bekomme, in der sich ein eingebetteter Link befindet. Wie man Mitmenschen „elektronisch“ kriminalisieren kann, habe ich bereits hier und hier ein wenig ausgeführt.

  • emails sent and received

Neben den oben angesprochenen Problem mit untergeschobenen Links und „gefährlichen“ Webinhalten, kommt hier noch das Medium Mail direkt ins Spiel. Was passiert z.B. wenn ich meine Mails verschlüssle? Damit bin ich schon einmal latent im Raster, denn wer verschlüsselt hat sehr wahrscheinlich etwas zu verbergen. Was aber, wenn ausgerechnet heute bekannt wird, dass ein aktuell von Terroristen genutztes Synonym für Sprengstoff „$Erfrischungsgetränk“ heißt und der Anschlag selbst als „Feier“ getarnt wird. Da werden aber einige Menschen im Raster landen, wenn sie einen Freund auffordern doch ausreichend $Erfrischungsgetränk zur Feier, die heute in der Nähe des Hauptbahnhofes stattfindet, mitzubringen. Und ich bin mir sicher: Mit exakt solch banalen Synonymen arbeiten Menschen, die etwas zu verbergen haben, sie wollen ja nicht auffallen. Abgesehen von all dem obigen: Es geht NIEMANDEN etwas an, wer mit wem mittels Mail kommuniziert und die Inhalte schon gar nicht. Ich bin ein unbestrafter Bundesbürger und ich mache das Recht geltend, dass ich nur als Verdächtiger überwacht werden darf. Unschuldsvermutung!

  • social media activity (Facebook, Twitter, etc)

Ich mag soziale Medien. Ermöglichen Sie es mir doch, festzustellen wer so alles wen kennt und wie intensiv einige Menschen miteinander kommunizieren. Wenn ich Revue passieren lasse, was ich schon so alles auf Twitter, auf Google+ und nicht zuletzt hier so von mir gegeben habe: Mir kann nichts passieren, ich werde gewiss überwacht.

  • blogging activity including posts read, written, and commented on

Tja, und hiermit seid ihr alle am Arsch, denn ihr seid auf dieser Seite gelandet, auf der ich gerade Kritik an der Überwachung durch die Geheimdienste der USA und anderer Staaten äußere. Und wer hier auch noch – am Ende gar meine Meinung unterstützend – kommentiert hat…..

 

  • videos watched and/or uploaded online
  • photos viewed and/or uploaded online
  • music downloads

Prima, die wissen welche Musik (Online/Cloud-Dienste) wir hören, welche Videos (sicher nur der schwarze Kanal) anschauen und wie oft wir nach Katzenbildern gesucht haben. Was ist aber mit dem Politiker oder höherem Manager, der sich des öfteren – vielleicht sogar vom Büro-PC) heimlich mal „Sexy“-Bilder oder Videos angesehen hat? Dieser wird – unter Umständen erpressbar. Und seine Mails hat man ja ebenfalls gescannt – ob er eine heimliche Freundin hat?

  • mobile phone GPS-location data

Mit unseren GPS-Daten geben wir nicht nur bekannt, wann wir uns wo aufhalten (Wann, wie oft), wir offenbaren auch, mit wem wir uns im realen Leben treffen. Diese Kontakte sind natürlich für Geheimdienste „härtere“ Fakten als nur der Mailaustausch. Dass der hochkriminelle Steuerhinterzieher und ich uns nur zufällig morgens beim Bäcker treffen, das wissen die Daten nicht.

  • mobile phone apps downloaded

Welche Software ich downloade, KANN uninteressant sein. Aber warum lade ich eine Verschlüsselungssoftware herunter und nutze sie (das krude Ding bekomme ich nicht installiert) anschließend nicht? Habe ich diese Software nur konspirativ für meinen Freund, den Steuerhinterzieher, herunter geladen?

DAS gehört seit Jahren zum Standardrepertoire, da muss ich nicht noch drauf eingehen.

  • text messages sent and received

Siehe oben.

  • online purchases and auction transactions

Wer kauft wann was. Gefährliche Artikel gibt es überreichlich – auch normale Haushaltsgegenstände können zu recht unangenehmen Dingen zusammen gemischt werden. Ich mache mich bei den Datensammlern nicht nur verdächtig, wenn ich alle drei gefährlichen Zutaten kaufe,  es reichen zwei Zutaten und ein Nachbar von mir, der die dritte Zutat erwirbt. Das ist dann der Beweis dafür, wie konspirativ wir vorgehen.

  • bookstore receipts

Nicht nur Online-Ordern, auch was wir beim Buchhändler um die Ecke erwerben, ist für unsere Kollegen mit dem ehemaligen Schlapphutfetisch interessant. Es KÖNNTE ja sein, dass wir nicht nur online recherchieren, sondern uns ein Buch kaufen. WEHE ihr studiert irgendwas mit Technik oder (noch schlimmer UND) Chemie.

  • credit card/ debit card transactions
  • bank statements

Bankauszüge und Geldbewegungen. ALLES. Man könnte ja nun fragen: Wieso gibt es dann noch Steuerhinterzieher? Aber ich frage: Was geht den Staat an, was auf meinem Konto liegt und dass ich meinem Bruder 100€ für „Sexuelle Gefälligkeiten“(er hatte mir etwas banales verkauft) überweise?

  • cable television shows watched and recorded

O.o. Jetzt wird es eng für die Menschen, die mir so ans Herz gewachsen sind: Menschen die sich gern informieren und deshalb vielleicht auch mal den Sender Al Jazeera einschalten. In Zukunft macht sich dann sicherlich auch verdächtig, wer die „Heute-Show“ oder „Neues aus der Anstalt“ ansieht. Dokumentationen sind auch suspekt!

  • commuter toll records
  • parking receipts
  • electronic bus and subway passes / Smartpasses
  • travel itineraries
  • border crossings
  • surveillance cameras

Bewegungsdaten aus allen Quellen – sollte man das Mobiltelefon einmal ausschalten. Natürlich auch mit Bewegtbilder – winkt doch mal, wenn ihr mal wieder an einer Überwachungskamera vorbeikommt. Aber Vorsicht: Das gibt schnell einen lahmen Arm, man hat viel zu winken.

  • medical information including diagnoses and treatments
  • prescription drug purchases

Alle meine Krankheiten und ärztliche Diagnosen. Insbesondere Interessant, wenn man Politiker oder Manager ist – da wird man bei bestimmten Diagnosen so schön erpressbar. Aber auch eine Krankheit, die ein Bekannter aus dem Urlaub mitbrachte, könnte schon bemerkenswert sein.

  • guns and ammunition sales

Naja. Das Waffen und Munitionskäufe überwacht werden, ist für mich schon irgendwie OK. In den USA wird dieser Punkt aber wahrscheinlich den grössten Aufschrei auslösen.

  • educational records

Meine Bildung ist tatsächlich für diese Damen und Herren ebenfalls einen eigenen Punkt in der Aufzählung wert. Ich frage mich, ob hier nun Intellektuelle oder besonders leicht zu beeinflussende Menschen beobachtet werden. Wahrscheinlich beide – nur die langweilige Mittelschicht hat hier nicht viel zu befürchten.

  • arrest records
  • driver license information

Sie wollen wirklich ALLES wissen. Welche Informationen wären über uns noch verfügbar, die hier nicht aufgeführt sind?

Sicherlich werden auch Daten von den Steuerbehörden und anderen Quellen abgeschnorchelt.

Nun möchte ich zum Schluss wieder auf den Artikel der Technology Review (über Heise) eingehen. Es gibt unterschiedliche Möglichkeiten sich verdächtig zu machen. Aber was sind die Folgen – was können die Folge meines Handelns sein, wenn ich in diesem Raster hängen bleibe:

Das bedeutet, der Offizier, der den Angriff freigibt, kennt die Identität der Ziele nicht.

Mit anderen Worten, ihr Verhalten trägt die „Signatur“ eines legitimen Angriffsziels.

Mein Verhaltensmuster kann mich zum Ziel eines legitimen Angriffes machen – ohne dass demjenigen, der über meinen Tod entscheidet, überhaupt mein Name bekannt ist. Die Software (deren Programmierer, die auch nicht immer fehlerfrei arbeiten) definiert ob ich weiterleben kann oder sterben muss.

Ich möchte an dieser Stelle alle Menschen die irgendwas mit Technik, Chemie oder Physik studieren, davor warnen, als Pizzabote zu  arbeiten. Denn wer weiß schon, ob man nicht vielleicht ausgerechnet dem gesuchten Steuerhinterzieher eine Pizza liefert, nachdem man für das Studium mal wieder Onlinerecherche betrieben hat.

[youtube NYj5SE88ypw]

Internetsperre kann auch konkreten Datendiebstahl bedeuten

Über die Mailingliste des AK gegen Internetzensur brachte mich Christian von Mogis auf einen nicht uninteressanten Gedankengang. WENN z.B. die unter der Domain „zu_sperren.de“ sowohl unter „www.zu_sperren.de“ als auch unter (ohne www.) „zu_sperren.de“ in der Sperrliste auftaucht, hat die IP-Adressänderung der Provider-DNS noch ganz andere Folgen.

Typischerweise läuft unter der Domain ja nicht nur der Webserver, sondern auch noch ganz andere Dienste sind dort meist verfügbar – so z.B. auch ein Mailserver. Was aber kann das zur Folge haben? Nehmen wir das Beispiel einer privaten Webseite, die unter einer „Namensdomain“ läuft, wie auch diese Webseite hier. Der Mailserver dieser Domain ist meistens unter der Domain selbst zu erreichen – ohne mail. smtp. oder ähnliches davor. Das hat zur Folge, dass auch Mails per Provider-DNS an eine andere IP-Adresse umgeleitet werden. Der absendende Mailserver fragt nach welcher Server für die entgegennahme der Mails zuständig ist und bekommt dann eben die IP-Adresse des Stopp-Servers als Antwort. Genau dorthin wird er also versuchen Mails an die Domain „zu_sperren.de“ zuzustellen. Mit ein wenig technischem Geschick ist es dann möglich jedwede mail an „zu_sperren.de“ auf dem Stoppserver entgegen zu nehmen.

Man kann solange darüber diskutieren, wie diese Mail ausschliesslich den Betreiber des Servers betreffen. Strafbar (solange Sippenhaft noch nicht eingeführt ist) wird es, wenn auch Mails von Unbeteiligten durch dieses Vorgehen entweder nicht zugestellt oder sogar Mails von Unbeteiligten (dieses können auch Familienangehörige – Eltern, Geschwister und ähnliches sein) an einen fremden Server zugestellt werden und dort eventuell gesichtet werden.

Dies ist ein weiterer Hinweis darauf, dass sich unsere Gesetzgebenden Vollhonks nicht ANSATZWEISE über die Folgen ihres Handelns informieren. Und solch kurzfristig agierende Menschen bestimmen ebenfalls über die Lagerung von Atommüll, definieren wie gefährlich Gentechnologie und über andere höchstkomplexe Themen. Ganz zum Schluß wundert es mich nicht wirklich, zeigt sich doch gerade bei Betrachtung der Kosten für die Atommüllendlager und ähnliches, wie kurzfristig „dort oben“ nachgedacht wird.