NSA-Affäre: E-Mail-Anbieter Lavabit lieferte sich Katz-und-Maus-Spiel mit US-Justiz

Ladar Levison, der Chef des sicheren E-Mail-Anbieters Lavabit hat sich wochenlang und teilweise äußerst trickreich gegen Forderungen der US-Regierung gewehrt, die wohl an die Kommunikation des Lavabit-Kunden Edward Snowden gelangen wollten. Das geht aus nun veröffentlichten Dokumenten hervor, in denen die juristische Auseinandersetzung aufgeschlüsselt wird. Zwar sind in dem Dokument alle Namen geschwärzt, aber alles deutet darauf hin, dass es um den Account von Edward Snowden ging.

Demnach verlangte die Regierung am 10. Juni, also einen Tag nach der Enthüllung der Identität des NSA-Whistleblowers, die sie offenbar davor nicht kannten, die Herausgabe einer ganzen Reihe von Informationen. So wollte sie etwa jede verfügbare Adresse, Aufzeichnungen der Sitzungen, mit dem Account verbundene Telefonnummern sowie MAC-Adressen, aber auch Bank- und Kreditkartendaten. Darüber hinaus ging es ihnen um alle verfügbaren Verbindungsdaten, offenbar jedoch nicht um Inhalte. Am 28. Juni forderten sie auch, ein sogenanntes "pen register", ein Überwachungsgerät, zu installieren, um solche Verbindungsdaten in Zukunft direkt selbst abgreifen zu können.

Nachdem Levison die geforderten Informationen wochenlang nicht übergeben hatte und auch die Installation des Überwachungsgeräts nicht stattgefunden hatte, wurde er schließlich vor Gericht zitiert. Am 16. Juli sollte er nun außerdem alle öffentlichen und privaten Schlüssel übergeben, die von Lavabit in jeder SSL-Sitzung verwendet werden. Nun verlagerte sich die Auseinandersetzung. Levison erklärte, er sei immer einverstanden gewesen, solch ein Überwachungsgerät zu installieren, aber die Herausgabe der SSL-Schlüssel würde jegliche sichere Kommunikation seiner Kunden kompromittieren und sei für die Verfolgung gar nicht nötig. Deswegen verweigerte er sie.

Außerdem begann Levison nun zu fordern, die Gerichtsdokumente öffentlich zu machen, auch um Einfluss auf die öffentliche Meinung zu nehmen und eine Diskussion über dieses geheime Vorgehen anzuregen. Er setzte sich nicht durch, kam den Forderungen aber weiterhin nicht nach. Schließlich bot er den Behörden an, selbst eine Software zu programmieren, mit der er an die geschützten Verbindungsdaten des Verfolgten gelangen könnte. Dann müssten die Behörden ihm aber vertrauen, wozu sie nicht bereit waren, so wie er ihnen im Gegenzug die SSL-Schlüssel nicht anvertrauen wollte.

Am 2. August schließlich leistete Levison Folge, nutzte aber einen Trick. Er druckte die SSL-Schlüssel aus, in Schriftgröße 4 auf insgesamt 11 Seiten. Die Zeichen hätten absolut fehlerlos abgetippt werden müssen, um benutzbar zu sein. Das FBI bezeichnete sie als größtenteils unleserlich und verlangte eine elektronische Übergabe. Danach wurde der Druck dann offenbar zu groß und am 8. August schließlich schloss Levison seinen Dienst, um die Nutzer nicht an die Strafverfolger ausliefern zu müssen.

Auch wenn bis heute nicht offengelegt wurde, um welchen Account es den US-Behörden geht, scheint sicher, dass es sich um den von Edward Snowden handelt. Wie aus den Unterlagen nun hervorgeht, war Levison durchaus bereit, eine Überwachung dieses einen Accounts am Ende zu ermöglichen. Die Herausgabe der SSL-Schlüssel jedoch hätte das gesamte Sicherheitsversprechen seines Dienstes untergraben. Was er gemeint hat, als er sagte, er könne nicht alles mit seinem Anwalt besprechen, ist aber weiterhin unklar. Nun kämpft er juristisch gegen das Vorgehen der US-Behörden. Um das durchzustehen, bittet er derzeit die Öffentlichkeit um finanzielle Unterstützung.

[Update 4.10.2013 - 10:35] Die New York Times weist darauf hin, dass Levison Lavabit erst abschaltete, nachdem er zwei Tage zuvor zu einer täglichen Strafe von 5000 US-Dollar verpflichtet worden war. Parallel zur Schließung übergab er dann schließlich die SSL-Schlüssel. Dieses Manöver sei nicht weit davon entfernt gewesen, selbst eine strafbare Handlung zu sein. (mho)