Datenschutzfreundliche Provider: Sie wollen's nicht wissen

Der US-Amerikaner Nicholas Merrill träumt von einem Provider, der maximalen Nutzerschutz gewährt. Das Projekt des Calyx Institute scheitert vorerst am Geld.

Gemeinsam gegen den Überwachungsstaat – eine Illusion? Bild: Stefan Boness/Ipon

BERLIN taz | Die Idee schwelt schon lange in ihm. Seit acht Jahren träumt Nicholas Merrill von einem Telekommunikationsanbieter, der die Daten seiner Kunden nicht kennt und sie somit garantiert nicht weitergeben kann. Der Versuch, diesen Traum mit einem Provider des so genannten //www.calyxinstitute.org/content/internet-provider-pledges-put-your-privacy-first-always:Calyx Institute wahrzumachen, ist nun vorerst an der Finanzierung gescheitert.

Das Crowdfunding-Projekt erweckte offenbar nicht das breite Interesse der Öffentlichkeit, auf das die Macher gehofft hatten. Doch während Merrill nicht aufgibt und schon nach neuen Finanzierungsmöglichkeiten sucht, bezweifeln Beobachter, ob er sich damit überhaupt gegen den amerikanischen Staat durchsetzen kann.

Denn die Überwachung im Dienste des so genannten Kampfes gegen den Terrorismus scheint in den USA bisher unantastbar. Einige große Provider wie AT&T oder Verizon kooperieren willig mit den Sicherheitsbehörden, sie geben jährlich Millionen von Kundendaten preis. Merrill versucht seit 2004, dieser Beobachtungswut etwas entgegenzusetzen.

Der 39-Jährige betrieb damals eine kleine Providerfirma in New York und bekam einen Brief des FBI, dem Inlands-Nachrichtendienst der Vereinigten Staaten von Amerika. Nicht irgendeinen Brief, sondern einen Nationalen Sicherheitsbrief – also eine Aufforderung, bestimmte Daten seiner Kunden zu übermitteln.

Komplett verschlüsselt

Die Sicherheitsbriefe sind Teil des so genannten US-Patriot Act, der 2001 nach den Anschlägen auf das World Trade Center in Kraft trat. Seitdem können US-Sicherheitsbehörden ohne Hinweise auf eine konkrete Straftat Daten über Kommunikation, Finanzströme und Kreditnahme einzelner Personen anfordern, etwa von Providern wie Nicholas Merrill.

„Meine Idee war nun, von vorne herein gar nicht fähig zur Kooperation mit den Behörden zu sein“, sagt Merrill. Er gründete das Calyx Institute als Arbeitsgemeinschaft von IT-Experten, um den speziellen Providerdienst aufzubauen.

Dieser soll den Datenverkehr eines Nutzers vom Endgerät bis zum aufgerufenen Server komplett verschlüsseln, auf dass der Provider selbst nicht mitlesen könne. Daten, die er nicht hat, kann der Anbieter dann auch nicht an den Nachrichtendienst weitergeben – so das Kalkül des Teams um Merrill.

Laut der Bürgerrechtsbewegung Amercian Liberties Union (ACLU) ergehen jährlich zehntausende Sicherheitsbriefe an Provider und Kreditinstitute und das meist ohne richterliche Anordnung oder einen konkreten Hinweis auf eine Straftat. 143.000 Anfragen führten laut der Organisation in den Jahren 2003 bis 2005 etwa zu lediglich 53 Strafanträgen – keiner davon war mit Terrorismus verbunden, auf den der Patriot Act eigentlich abzielt.

Eingriffe verletzen grundlegende Rechte

„Seit Inkrafttreten des Patriot Act vor mehr als einer Dekade wurde er immer wieder unsauber angewandt, Übertretungen wurden durch gesetzliche Anpassungen nachträglich legalisiert“, sagt Laura Murphy, Chefin des ACLU-Büros in Washington. „Er interveniert in die Privatsphäre der Amerikaner und verletzt ihre grundlegenden Rechte.“

Aus diesem Blickwinkel scheint ein Projekt wie das des Calyx Institute wünschenswert. Die nötige Unterstützung fehlte am Ende dennoch. Über die Fundraising-Plattform Indiegogo wollten Merrill und seine Kollegen seit Mai rund eine Millionen US-Dollar sammeln, um ihr auf 70 Regionen gestütztes Breitband-Netzwerk und ein darüber gelegtes VPN-Netzwerk zu finanzieren. Später sollten auch alle Mails, die Kunden über den Betreiber versandten, so verschlüsselt werden, dass nur der Kunde selbst sie entschlüsseln kann. Wie alle Dienste sollte auch dies auf Open-Source-Software basieren.

Doch obwohl das geradezu nach kollektiver Finanzierung schreit, kamen bis zum Ablauf der Frist Ende vergangener Woche nur knapp 70.000 US-Dollar zusammen. „Die meisten Internetnutzer sehen noch immer nicht die Relevanz von sicheren Datenverbindungen“, schätzt Willi Geiselmann, Experte für Verschlüsselung und Sicherheit am Karlsruher Institut für Technologie (KIT). Das Projekt sei gerade aus diesem Grund positiv zu sehen.

Es biete dem durchschnittlichen Kunden den Schutz, den er sich selbst durch Programme wie PGP und AES-Verschlüsselungen etwa für sein Mailprogramm auch heute schon zulegen kann, als komfortables Gesamtpaket. Doch das ist gleichzeitig auch das Problem des Calyx Institute: „Unter den Otto-Normal-Nutzern gibt keinen Markt für solche Angebote“, sagt Geiselmann.

Provider kann Augen nicht verschließen

Der Wissenschaftler bezweifelt zudem, dass Merrill die Daten so umfassend verschleiern kann, dass er tatsächlich nicht mehr zum Kollaborateur wider Willen werden kann. Auch wenn mehrere Server im selben Land, also etwa über das Calyx-Netzwerk innerhalb der USA, zwischengeschaltet seien – solange der Anbieter nicht Start- oder Endpunkt einer Datenübermittlung ins Ausland verlagere, müsse der Provider die Endkunden gezwungenermaßen zur Kenntnis nehmen. Und für den Secret Service sei mitunter auch schon interessant, wer mit wem wie große Datensätze austausche.

Nicholas Merrill verteidigt das Projekt: Man wolle auch Anonymisierungstechniken wie das Tor-Project einbinden. Tor ist ein weltweites Server-Netzwerk, dessen Betreiber nur ein Ziel haben: Daten anonymisiert zu übertragen, indem sie sie über zahlreiche Server umleiten. Merrill setzt darauf, dass der Provider dadurch Spuren wie etwa die IP-Adresse des Nutzers zu einem bestimmten Zeitpunkt kenne, aber keinesfalls die gesamte Transaktionskette entlang nachvollziehen könne.

Man arbeite auch an einem System, das den Kunden willkürliche ID-Nummern zuordnet, anstatt sie mit Name und Adresse abzuspeichern. „Wenn jemand zu uns kommt und die Datenauskünfte über John Smith haben will, werden wir nicht in der Lage sein, diesen konkreten Namen der ID zuzuordnen“, sagt Merrill. Die richtigen Leute dafür hat er mit Spezialisten wie Sascha Meinrath, Chef der Open Technology Intiative, und Jacob Appelbaum, Mitbegründer des Tor-Netzwerks, jedenfalls zusammengetrommelt. Doch können sie gemeinsam für vollkommene Sicherheit sorgen?

„Bei einer digitalen Übermittlung von Daten gibt es keine vollkommene Sicherheit, das ist reine Illusion“, sagt Hartmut Pohl. Auch der Sprecher für Datenschutz und IT-Sicherheit der Gesellschaft für Informatik bleibt gegenüber dem Projekt skeptisch und erzählt eine kleine Anekdote: Angenommen ein Milliarden-schwerer Deal wie die Kaufplanung des US-Autobauers Chrysler durch Daimler-Benz Ende der 90er interessierte den US-Nachrichtendienst.

„Dann wäre der persönliche Kontakt zwischen den Vorstandsvorsitzenden auch heute noch die sicherste Kommunikation, um die Details des Deals abzuklären“, sagt Pohl. Denn vom technologischen Fortschritt der elektronischen Kommunikation hätten Sicherheitsbehörden genauso profitiert wie Internetaktivisten – Möglichkeiten der Überwachung, etwa durch hochentwickelte Trojaner, inklusive.

Gesellschaft soll diskutieren

„Wir können davon ausgehen, dass weltweit jede digitale Kommunikation vollständig überwacht werden kann – unabhängig von der Unterstützung eines Providers“, sagt Pohl. „Die amerikanischen Sicherheitsbehörden haben in den USA Geräte in den Räumen der Provider zur Überwachung der Kommunikation installiert, so dass die Nationalen Sicherheitsbriefe nur eine rechtlich flankierende Maßnahme darstellen.“

Der Professor für Informationssicherheit glaubt nicht, dass sich Nicholas Merrill dauerhaft gegen die Überwachungsmaßnahmen der Behörden wehren könne. Der Druck und auch die Rechte der Sicherheitsbehörden seien in den USA bekanntlich sehr groß.

„Natürlich kann ich unterliegen mit meinem Plan“, sagt Nicholas Merrill. Doch er habe es geschafft, seit dem ersten Sicherheitsbrief des FBI die verlangten Daten nicht herauszugeben und habe langsam Erfahrung in den Kleinkriegen mit den Behörden. Außerdem hat er mit Brian Snow ein ehemaliges Mitglied des National Security Service für sich gewonnen. „Es gibt mittlerweile viele Fraktionen innerhalb des US-Secret Service, die eine ständige Verletzung der Bürgerrechte nicht mehr bedingungslos unterstützen wollen“, sagt Merrill.

Er will schon bald wieder auf die Suche nach Geld für sein Projekt gehen und setzt dabei auf Personen wie Snow, die sein Anliegen im Ansatz unterstützen. Die Gesellschaft soll anfangen, über den Patriot Act zu diskutieren, quer durch alle Schichten.

Willi Geiselmann vom Karlsruher Institut für Technologie glaubt, dass das Calyx Institute hierbei viel erreichen kann. Je mehr Menschen sich für die staatliche Überwachung interessieren und die Probleme verstehen, desto eher entstehe öffentlicher Druck. Insofern sei die Initiative in jedem Fall positiv – egal ob der Provider überhaupt jemals an den Start geht.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.