Inhaltsverzeichnis

Auch die deutsche Politik scheint das mittlerweile bemerkt zu haben. Nach den Anschlägen auf die Redaktion von "Charlie Hebdo" hatte Bundesinnenminister Thomas de Maizière noch spontan Zugang zu aller Online-Kommunikation gefordert. Nach den Pariser Anschlägen vom November allerdings hielt er sich damit auffallend zurück. Wenige Tage zuvor hatte er auf dem nationalen IT-Gipfel in Berlin die "Charta zur Stärkung der vertrauenswürdigen Kommunikation" unterzeichnet. In dem Dokument fordern Vertreter von Politik, Industrie und Wirtschaft unter anderem, die Ende-zu-Ende-Verschlüsselung zu fördern. Auf die Frage, ob die neue Maxime nicht in Konflikt gerate mit der Arbeit des Bundeskriminalamtes, erklärte der Innenminister am Rande der BKA-Herbsttagung beinahe lakonisch: "Nein. Die bestehenden Gesetze, die außerhalb des Internets gelten, die sollen auch innerhalb des Internets gelten."

In einem Punkt aber geben sich auch die deutschen Behörden wenig nachgiebig: ihrem Kampf gegen die Anonymität. "Going Dark", das Phänomen also, dass potenzielle "Gefährder" durch Anonymisierung von der Online-Bildfläche verschwinden, sei heute "ein großes Problem bei der Ermittlungsarbeit", sagt auch BKA-Präsident Holger Münch. "Durch Anonymisierung können Nachrichten oft nicht mehr ihren Quellen zugeordnet werden", beklagte er am Rande der BKA-Herbsttagung in Mainz. "Das geht heute bis hin zu 70 Prozent."

Wenn anonyme Kommunikation also ein so großes Sicherheitsproblem ist, bewegen sich dann Firmen wie Posteo, Threema und Telegram auf rechtlich rutschigem Boden? Wer Kriminellen Unterschlupf bietet, ist der nicht auch mitverantwortlich für deren Taten? "Ein explizites Recht auf Anonymität gibt es bei der digitalen oder analogen Kommunikation nicht", stellt Ulf Buermeyer, Strafrichter am Berliner Landgericht, klar. "Das muss es aber auch nicht geben. Es ist schlicht nicht verboten, anonym und verschlüsselt mit jemandem zu sprechen, ob online oder offline." Das Recht auf informationelle Selbstbestimmung setze den deutschen Ermittlungsbehörden dagegen enge Grenzen beim Zugriff auf personenbezogene Daten.

Ironie der Geschichte: Die ehemaligen Greenpeace-Aktivisten von Posteo erfüllen die geltenden Gesetze disziplinierter, als es den Ermittlungsbehörden lieb ist. Denn Posteo entkoppelt die Namen ihrer Kunden von deren gemieteten Postfächern. So weiß Posteo selbst nicht, welchem Kunden welches Postfach gehört. Und bei Anfragen der Behörden nach Bestandsdaten stehen sie dann mit leeren Händen da. "Wir erhalten immer wieder Bestandsdaten-Abfragen und müssen dann antworten: ,Tut uns leid – wir haben die Daten nicht.'" 2013 kam es deshalb bei Posteo sogar zu einer Hausdurchsuchung, bei der die Beamten nach Darstellung von Posteo eine technisch unmögliche und zugleich juristisch fragwürdige Mitwirkung einforderten.

Trotz solcher Bollwerke: Völlig hilflos stehen Strafverfolger und Geheimdienste der Anonymisierung keineswegs gegenüber. Der erste Grund ist eher zweifelhafter Natur: Mittlerweile gibt es Dienstleister, die Regierungen und Ermittlungsbehörden weltweit Abhör-Software mit allen Raffinessen verkaufen, gegen die auch Verschlüsselung nichts hilft. Zum anderen gelingt es staatlichen Ermittlern immer wieder, Anonymisierung auszuhebeln. Schon 2013 brachte das FBI beispielsweise Ross Ulbricht hinter Gitter, Betreiber der Silk Road, der wohl bekanntesten Handelsplattform im Darknet und ein Umschlagplatz für Drogen.

Im November 2014 dann berichteten Europol und das FBI, es sei ihnen gelungen, Teilnehmer und Betreiber von 27 Darknet-Seiten zu identifizieren und zu überführen. 17 Nationen waren an dieser geheimen "Operation Onymous" beteiligt. Es gab 17 Festnahmen, darunter auch Blake Benthall, Betreiber von Silk Road 2.0. Rund 1,2 Millionen US-Dollar wurden beschlagnahmt in Form von Bitcoins, Cash und Drogen. Wie genau der Zugriff gelang, verraten die Beteiligten nicht. Bekannt ist nur, dass die Betreiber von Tor im Juli 2014 einen ungewöhnlichen Datenverkehr bemerkt hatten. Mehrere Server überwachten offenbar die Datenmengen, die über sie durch das Tor-Netzwerk geleitet wurden. Bei einem solchen Angriff können die Teilnehmer des Datenaustauschs ermittelt werden, wenn beide mit überwachten Tor-Servern verbunden sind. Ob Operation Onymous diese Schwachstelle nutzte, ist bis heute jedoch unklar.

Klar ist dagegen: "Wie effektiv eine Anonymisierung ist, hängt natürlich immer davon ab, wer der Gegner ist", sagt Professor Björn Scheuermann von der Humboldt Universität Berlin. "Wenn jemand alle Tor-Server kontrollieren oder überwachen würde, dann wäre eine Tor-Verbindung natürlich nutzlos." Deshalb sei Anonymisierung immer eine graduelle Angelegenheit.

Eine Lücke findet sich meistens. Und mit der Vorratsdatenspeicherung sorgt der Staat zumindest hierzulande dafür, dass die Lücke offen bleibt. "Die Vorratsdatenspeicherung erzwingt, dass unter bestimmten Umständen bestimmte Metadaten, darunter IP-Adressen, gespeichert werden müssen", erklärt Scheuermann. "Dazu gehört, dass die Internet-Provider zehn Wochen lang speichern müssen, welche IP-Adresse wann welchem Anschluss zugeordnet war." Vom Betreiber eines Webservers oder Messengers können Behörden die IP-Adresse erfragen, von der der Dienst aufgerufen wurde. Aus den gespeicherten Daten beim Internetanbieter "ergibt sich dann, wer diese IP-Adresse zum betreffenden Zeitpunkt genutzt hat", sagt Scheuermann. Aber auch, wer seine IP-Adresse per Tor anonymisiert, kann unter gewissen Umständen noch identifiziert werden, etwa wenn er einmal ohne Tor-Verbindung surft.

Wer also wirklich im Netz abtauchen will, muss einiges an Fachkenntnis mitbringen – und darf sich vor allem kaum einen Fehler erlauben. Daran scheitern augenscheinlich fast alle. "Die kriminalistische Erfahrung zeigt, dass Straftäter derzeit diese Möglichkeiten [der Anonymisierung], sei es aus Unkenntnis oder Bequemlichkeit, häufig nicht, nicht richtig oder nicht vollständig (d. h. immer und ausschließlich) nutzen", sagt dazu die Pressestelle des Bundesinnenministeriums auf Anfrage.

So gut diese Nachricht für die Bekämpfung von Kriminellen ist – so schlecht ist sie für die übrigen 99 Prozent der Webnutzer. Denn sie stehen im Netz erschreckend nackt da, weil kaum einer von ihnen den mühsamen Weg in die Anonymität gehen will, nur um Google, Facebook oder Amazon auszutricksen. Zum Glück für die Internetkonzerne: Ihr Geschäftsmodell beruht ganz oder zum großen Teil auf Daten, die Online-Nutzer bei ihnen hinterlassen. Sie verknüpfen Metadaten mit personenbezogenen Informationen, um personalisierte Werbung zu schalten oder ihr Produktsortiment genau an die Kunden anzupassen. Anonymität im Netz würde das Ende ihrer Geschäftsmodelle oder zumindest einen gewaltigen Einbruch ihrer Umsätze bedeuten. Individueller Nutzen gegen persönliche Daten – das ist der Deal im Web.