So machen’s die Diktatoren
KNIPS Regt sich Unruhe in einem Land, zensieren, blockieren und bespitzeln Regime das Internet. Aber wie genau funktioniert das eigentlich? Eine Erklärung von jemandem, der es wissen muss
■ Leben: 32, geboren in Lauterbach, Hessen, lebt in Berlin. Nach einem abgebrochenen Lehramtsstudium und einer Ausbildung zum Bankkaufmann hatte Urbach zunächst eine Stelle bei dem Internetunternehmen AOL. Seit 2011 arbeitet er als Referent für die Fraktion der Piraten im Berliner Abgeordnetenhaus.
■ Engagement: Urbach ist Netzaktivist. Von 2010 bis 2012 unterstützt er in der Gruppe Telecomix die Demokratiebewegungen des Arabischen Frühlings. Sie sorgte zum Beispiel dafür, dass Ägypter trotz des vom Regime Mubarak veranlassten Internetblackouts ins Netz gehen konnten.
VON STEPHAN URBACH
Das Internet ist fragil. Den wenigsten ist das klar. Computer, Kabel, Router – das Netz existiert nur, weil seine Infrastruktur existiert. Und die kann manipuliert werden. Oder zerstört.
Diktaturen nutzen das aus. Als Reaktionen auf die Proteste in ihren Ländern haben die Regime in Ägypten und Syrien versucht, das Internet zu zensieren.
Ägypten hat dabei die gröbere Variante gewählt: Husni Mubarak ließ das Internet einfach abschalten. „Kill Switch“ nannten das viele Medien, als gäbe es irgendwo einen großen roten Schalter, mit dem das Netz abgeschaltet werden kann. Gibt es natürlich nicht. In Ägypten haben die Machthaber ihre Getreuen zu den Internet-Anbietern geschickt. Die haben gedroht: abschalten, sonst Kugel. Die Anbieter haben gehorcht.
Chaos stiften
Wie das technisch geht? Jedes Land hat quasi sein eigenes kleines Internet. Und die Webseiten in diesem Teilnetz haben so genannte IP-Adressen, damit sie im Internet erreicht werden können. Die IP-Adresse von taz.de lautet etwa 193.104.220.21. Die IP-Adressen, die in diesem Land vergeben sind, müssen auch den großen Rest des Internets bekannt gegeben werden, damit diese Adressen erreichbar sind. Und: Etwas muss wiederum dem Teilnetz sagen, wo sich der große Rest vom Internet mitsamt seinen IP-Adressen befindet. Das macht das Border Gateway Protocol, kurz BGP. Schaltet man dieses Protokoll ab, findet man im Netz des betroffenen Landes nichts mehr.
Das ägyptische Regime zwang also die Internetanbieter im Land, die Router, auf denen das Protokoll bei ihnen läuft, abzuschalten oder per Computerbefehl umzukonfigurieren. Wer eine Internetadresse mit dem ägyptischen Kürzel .eg aufrufen wollte, bekam eine Fehlermeldung. Das galt auch für Seiten wie egypt.com, die auf einen Server verwiesen haben, der in Ägypten stand. Das Regime hätte auch die notwendige Technik vernichten können. Oder das Unterseekabel kappen, das Ägypten mit dem Internet verbindet. Aber die eigenen Netzanbieter zu zwingen erschien den Machthabern offenbar einfacher.
In Syrien lief es anders. Dort hat sich der Staat dafür entschieden, das Internet auszuspionieren, statt es abzuschalten. Dabei gibt es Unterschiede zwischen dem Umgang mit lokalen und internationalen Firmen.
Alle syrischen Internetanbieter müssen die über sie verschickten E-Mails zwischenspeichern, damit sie von den Behörden gelesen werden können. Normalerweise erledigt das ein Filterprogramm, das nach verdächtigen Wörtern sucht. Vielleicht „Revolution“, „unzufrieden“ und „Assad“. Wurde der Filter fündig, dann liest die Mail ein Mensch.
Internationale Anbieter können so nicht gezwungen werden, Mails preiszugeben, denn ihre Computerzentren stehen im Ausland. Sie sind für die syrische Staatsmacht nicht direkt erreichbar. Darum nutzt der syrische Staat „Man in the Middle“-Attacken: Der „Man in the middle“ kann Daten aus dem Datenverkehr im Internet lesen, verändern und auch löschen.
Ein Beispiel: Ich schalte meinen Rechner an und rufe zum Beispiel die Seite von Googlemail auf. Was ich im Fall einer „Man in the Middle“-Attacke nicht merke: Eigentlich ruft an meiner Stelle ein Rechner, der zwischen mir und dem Google-Server hängt, die Googlemail-Seite auf. Dieser „Mann in der Mitte“ bekommt dann von Google ein sogenanntes SSL-Zertifikat zugeschickt, das meinem Browser beweisen soll, dass ich tatsächlich mit Google verbunden bin. Der Rechner in der Mitte erstellt aber ein falsches Zertifikat und sendet das an meinen Browser. Für mich vor dem Computer sieht alles ganz normal aus.
Ich schicke meine Mail, diese wird von dem Rechner in der Mitte gelesen, er versieht sie mit dem vorher geklauten Original-Zertifikat und schickt sie weiter an den Google-Server. Keiner merkt etwas, aber der syrische Geheimdienst kennt jetzt den Inhalt meiner Mail.
Ein anderes Beispiel: Ich sitze am Rechner und gebe ein: facebook.com. In diesem Augenblick wird ein Gerät aktiv, das meine IP-Adresse notiert und dass ich auf Facebook unterwegs bin. Dann schreibt es auf, welche Daten ich dorthin übermittele: auf welche Links ich klicke, welche Nachricht ich hinterlasse. Auch das geschieht mit einer „Man in the Middle“-Attacke.
Technologieanbieter werben damit, dass ihre Geräte auch Datenverkehr mitlesen können, der per SSL-Zertifikat verschlüsselt ist. Firmen wie Bluecode oder Finfischer zum Beispiel. Deren Geräte müssen physisch in die Router und Computerzentren installiert werden, über die der Datenverkehr läuft, damit sie diesen lesen können.
Meist werden diese Geräte im Backbone des lokalen Internet installiert. Das Backbone, also Rückgrat, ist die Technik – Leitungen, Computer, Router –, die für das Funktionieren des Internet in einer Region notwendig ist. Vereinfacht lässt sich das Backbone als ein System der dicksten Äste eines Baums vorstellen, die vom großen Stamm der Unterseekabel abgehen. Ans Backbone docken wie Zweige einzelne Telekommunikationsanbieter an, um ihre Daten ins Netz zu leiten.
In Deutschland ist das Backbone in privater Hand. In Syrien dagegen gehört es der staatlichen Gesellschaft Syriatel. Schon 1990 stand in der Ausschreibung für das dortige lokale Backbone, dass der Datenverkehr mitzulesen sein muss. Diese Dokumente hat die Piratenpartei veröffentlicht.
In Ägypten haben die Machthaber die Internet-Anbieter bedroht: abschalten, sonst Kugel
In Syrien waren Facebook und Google während der Proteste zunächst lange gesperrt. So ein Black-out wie in Ägypten lässt sich nämlich auch für spezielle Seiten konfigurieren. Zu dieser Zeit fehlten den syrischen Behörden, soweit ich weiß, noch das Know-how und das Personal, um das Netz wirklich zu überwachen. Eine flächendeckende Bespitzelung ist recht personalintensiv. Zwar werden die Mails zuerst automatisch gelesen, aber wenn die Programme auf etwas Auffälliges stoßen, muss sich das ein Mensch anschauen.
Syrien bekam dann Unterstützung aus dem Iran: Personal, Know-how und Technik. Und plötzlich waren Facebook und Google wieder freigegeben. Das war der Augenblick, ab dem die Überwachung stand. Ende November war das syrische Netz für zwei Tage offline. Vielleicht hat das Assad-Regime da doch die Nerven verloren, vielleicht wurden aber auch neue Spionagemaßnahmen installiert.
Folgen in der Offline-Welt
Soweit ich und die anderen Internet-Aktivisten bei Telecomix das mitbekommen haben, gibt es Abstufungen, wie der Geheimdienst in Syrien mit einem auffälligen Menschen umgeht. Viele werden zunächst beobachtet: Besuchen sie nur im Internet die missliebige Seiten oder tun sie mehr? Andere bekommen Drohbesuche. Leuten, die den Behörden bereits bekannt sind, kann es schlimmstenfalls passieren, dass sie abgeholt werden.
Diese Menschen werden verhört, gefoltert und sogar getötet. Ein Überläufer aus dem Geheimdienst hat einen solchen Mord heimlich gefilmt. Diese Aufnahme hat er nach draußen geschmuggelt und zu Telecomix geschickt, damit wir es veröffentlichen. Ich musste mir das ansehen, weil ich das Video bearbeitet habe. Danach bin ich bei Telecomix ausgestiegen.
PROTOKOLL: DANIEL SCHULZ
