Pragmatischer Widerstand gegen NSA und Co

Virtualisierte E-Mail-Server ohne Hintertüren, die jeder einrichten kann, könnten den Aufwand für Geheimdienste enorm in die Höhe treiben

Als Antwort auf den im letzten Jahr bekannt gewordenen allgemeinen Schnüffelangriff gegen die gesamte globale Gesellschaft ohne Vorliegen eines Tatverdachtes und in Deutschland unter Missachtung des deutschen Grundgesetzes und international der Menschenrechtskonvention. Dabei muss man sich im Klaren sein, dass die Ressourcen der Geheimdienste quasi unerschöpflich sind und eine technische Lösung auf Dauer unmöglich. Nur politischer, nur gesellschaftlicher Druck kann zu einer Kontrolle dieser Zukunftstechnologie "Internet" führen.

Über die Rolle von Märkten oder die der Banken kann man politisch unterschiedlicher Meinung sein. Darüber ob Frieden und Freiheit auch ohne Krieg erreichbar ist, kann es mehr als moralisch ethische Diskussionen geben. Aber wenn es um die Frage geht, ob man einen Überwachungsstaat akzeptiert oder nicht, sollte unter Demokraten eigentlich keine Diskussion notwendig sein. Deshalb ist für den folgenden Versuch des Widerstandes unerheblich, ob die Idee von progressiven oder konservativen politischen Kräften kommt, von Links oder aus der Mitte.

Eine der Aufgaben, die derzeit innerhalb der BAG Virtuelle Linke17 (VL17) in der Partei DIE LINKE diskutiert werden, ist ein einfacher und pragmatischer Ansatz des Widerstandes. Für die Dienste ist es leichter, je weniger und je größer die E-Mail- und "Cloud"-Provider sind. Je größer der Provider, desto eher lohnt der Angriff auch individuell, weil sich hunderttausende Zielpersonen, ja Millionen mit einem einzigen Angriff überwachen lassen.

In Deutschland sieht die Gesetzeslage außerdem vor, dass größere Provider verpflichtet sind, eine Hintertür in ihre E-Mail-Datenbanken einzubauen. Nicht betroffen davon sind private Mailserver. Nicht-kommerzielle E-Mail-Server können demnach nach wie vor nur mit Schadsoftware oder Hardwaremanipulationen angegriffen werden. Sehen wir uns an, wie der E-Mail-Verkehr heute in der Regel stattfindet.

Klassischer E-Mail-Versand

A schickt eine E-Mail an seinen Provider B. Wenn er Glück hat, nutzt er eine SSL-Verschlüsselung, wobei viele Provider immer noch die unverschlüsselte Übermittlung als Standard betrachten. D.h. auf dem Weg von seinem Computer (soweit er keine Schadsoftware darauf hat) zum E-Mail-Server kann er die Übertragung in gewissen Maßen ohne großen Aufwand, einfach durch eine einmalige Einstellung, absichern. Dann liegt aber diese E-Mail erst mal auf dem E-Mail Server B … ohne Verschlüsselung.1

Dann schickt der Server B die E-Mail unverschlüsselt weiter an den Server des Empfängers. Nennen wir ihn C. Und auf diesem Server liegt die E-Mail dann wieder unverschlüsselt. Der Empfänger D holt sich dann die E-Mail von seinem eigenen Server C und glaubt sich sicher, weil er SSL-Verschlüsselung nutzt.

A und D können vereinbaren, sich mit speziellen Hilfsprogrammen verschlüsselte E-Mails zu schicken, aber das Verfahren ist durchaus für normale Anwender nicht einfach. Und beide, Absender und Empfänger, müssen sich auf das Verfahren einigen. Verschlüsselte E-Mails zu versenden an Menschen, die keine Verschlüsselung nutzen, funktioniert nicht. Diese Art der individuellen Verschlüsselung ist aber derzeit der einzige Schutz, weil a) von Provider zu Provider ohne Verschlüsselung übertragen wird und b) auf den Servern der Provider die Daten offen lesbar vorliegen. Die Aufgabe ist nun, diesen Aufwand für die Benutzer zu reduzieren und trotzdem eine gewisse Abhörsicherheit herzustellen.

Die Übertragung von Provider zu Provider

Die Schwachstelle liegt in der Übertragung der E-Mails zwischen den E-Mail-Servern. Kriminelle wussten dies schon länger. Daher haben sie in der Vergangenheit EIN gemeinsames E-Mail-Konto benutzt. Dort haben sie E-Mails im Entwurf abgelegt, die dann von dem Empfänger mit der gleichen Zugangsberechtigung gelesen werden konnten.

Heute kein Problem mehr für die Geheimdienste, weil sie die Hintertüren nutzen können, die zu allen großen Providern bestehen. … (Außer diese würden die E-Mails standardmäßig verschlüsseln. Damit würde der Aufwand erheblich steigen.)

Eine Provider-Lösung

Um die Schwachstelle der Übermittlung zwischen den E-Mail-Servern aufzuheben, können Sender und Empfänger E-Mail-Adressen des gleichen E-Mail-Providers verwenden. Dann geht die E-Mail gar nicht auf die Reise durch das große weite Netz, sondern bleibt direkt auf dem E-Mail-Server. Hilft allerdings auch nicht, wenn es die bewusste Hintertür gibt. Also ist der logische nächste Schritt, einen eigenen E-Mail-Server, den man unter eigener Kontrolle hat, für kleine Gruppen zu nutzen.

So hat man den ersten Schritt getan, um den Aufwand für die Geheimdienste für eine flächendeckende Überwachung erheblich auszuweiten. Denn nun ist die E-Mail-Übertragung vom Computer A zum Server B über SSL verschlüsselt, ebenso wie das Holen der E-Mail von D beim Server B. Erstellt der Server seine eigenen Zertifikate, entfällt außerdem die Möglichkeit der Geheimdienste, die Schlüssel von einem der großen Zertifikatsanbieter zu übernehmen.2 Wird der Schlüssel außerdem regelmäßig geändert, wächst der Aufwand für Dienste und Abhören wird ihnen unter heutigen technischen Gegebenheiten keinen Spaß mehr machen.

Nun kann also jeder für eine Freundesgruppe einen eigenen Server anlegen. Man gibt jedem Freund eine E-Mail-Adresse und sagt ihm, er möge bitte für E-Mails an ihn bzw. die Freundesgruppe doch bitte diese E-Mail-Adresse verwenden. Mit Thunderbird als E-Mail-Klient z.B. kein Problem, auch Dutzende solcher Adressen zu verwalten. Mit einem Klick ändert man in der Absenderzeile die Adresse.

DIE VM-WARE

Die VL17 arbeitet nun daran, mit Hilfe von kostenloser, meist frei verfügbarer Software einen virtualisierten E-Mail-Server zu entwickeln, den jeder etwas besser geschulte Computerbenutzer bei sich zu Hause als E-Mail-Server einsetzen kann. Der Plan ist, eine Datei und eine Anwendungsbeschreibung zur Verfügung zu stellen, damit jeder sich selbst zum Provider machen kann.

Natürlich zielen wir damit in erster Linie auf Gruppen innerhalb der Aktivisten-Szene. Solche Gruppen haben meist mindestens eine Person, die sich als computeraffine Persönlichkeit outet und die Aufgabe übernehmen kann. Natürlich entstehen Mehrkosten z.B. für eine eigene feste IP-Adresse3 (4-5 Euro/Mon.) an, oder für Hardware, falls man solche extra anschaffen muss. Und natürlich muss man damit rechnen, dass nicht alles auf Anhieb funktioniert.

In Zukunft ist auch denkbar ist, Interessenten maßgeschneiderte und fertig konfigurierte Mini-Server auszuliefern, den der Benutzer nur noch mit Strom und dem Router verbindet4

Die Verschlüsselung auf dem Mailserver

Nun liegen also die E-Mails der Gruppe auf dem Mailserver B. Es gibt keine Hintertür. Trotzdem kann natürlich über Schadsoftware ein Geheimdienst den Server infiltrieren. Für diesen Zweck wird als zweiter Schritt in der Zukunft eine Verschlüsselung entwickelt, die dann selbst für den Administrator oder den Geheimdienst das Lesen der E-Mails unmöglich macht bzw. enorm erschwert.

Die Gruppenvernetzung

Das letzte Ziel in diesem Szenario ist dann die Vernetzung der E-Mail Server untereinander durch verschlüsselte Übertragung. Hier sind verschiedene Systeme in der Diskussion und die Meinungsbildung ist erst am Anfang.

Technik ist keine Lösung

Aber wie am Anfang gesagt ist das Problem der Überwachung und Kontrolle durch einen übermächtigen Staat auf Dauer nicht durch technische Tricks auszuhebeln. Es ist nicht die Technik der Überwachung, sondern der Geist, der diese Technik möglich und für die Gesellschaft akzeptabel macht, der die Gefahr darstellt. Daher ist der Ausbau einer "Gruppenvernetzung" in erster Linie auch ein politisches Signal. Ein Signal, das klar machen soll, dass man nicht mehr mit dieser Gesellschaftsnorm der totalen Überwachung übereinstimmt. Und es muss jede sich bietende Chance genutzt werden politisch dagegen zu kämpfen.

Fazit

Natürlich wäre es für die großen Provider möglich, selbst Verschlüsselung einzuführen und gesicherte Übertragung von Server zu Server zu vereinbaren.5 Um das durchzusetzen, bedarf es aber gesetzlicher Regelungen. Und gesetzliche Änderungen zur Erschwerung der Überwachung im 21. Jahrhundert sollte ein Anliegen sein, bei dem ALLE demokratischen politischen Parteien zusammen arbeiten sollten.

Noch ein Wort in eigener Sache: An dem oben genannten Beispiel erkennt man, in welche Richtung die VL17 denkt. Wir wollen nicht den Benutzer an die Technik anpassen und z.B. damit belasten, seine E-Mails sicher zu machen. Sondern wir wollen die Technik und die gesetzlichen Regelungen schaffen, um die Technik dem Menschen zu unterwerfen und in diesem konkreten Fall damit das Grundrecht auf Unversehrtheit des Briefgeheimnisses auch im Zeitalter der digitalen Übermittlung zu sichern.