TOR, Datenschutz und Anonymisierung: ein paar offene Briefe

Argh, offene Briefe. Ich weiss, das ist fast so schlimm wie Onlinepetitionen und Häuseranzünden, aber es gibt da ein paar Punkte, wo es mich wirklich massiv interessiert, was die jeweiligen Stellen dazu sagen. Ich denke, grade ist ein guter Zeitpunkt, ein paar Leute auf Positionen festzunageln (oder das Positionenvermeiden sichtbar zu machen) und deswegen schrob ich folgendes grade an BMI, BSI, Verbraucherzentrale und Datenschutzbeauftragten des Bundes. Jeweils Briefpost plus Mail vorab, teils abweichende Inhalte und Bezugnahmen, Infos zu letzteren am Ende des Blogeintrags. Wenn was zurückkommt, erstatte ich Bericht.

Betreff: Rechtliche Rahmenbedingungen zur Wahrnehmung eines besseren Datenschutzes angesichts der Überwachung durch ausländische Dienste, insbesondere Verschlüsselung/Anonymisierung durch das TOR-Netzwerk

$begrüßungsfloskel,

nach Bekanntwerden der Überwachungsmaßnahmen durch die Dienste der USA, Großbritannien und anderen rieten Sie unter anderem dazu, verstärkt Verschlüsselung einzusetzen und die Überwachung durch entsprechenden Technikeinsatz zu vermeiden, wie beispielsweise unter
http://www.spiegel.de/politik/deutschland/friedrich-fordert-deutsche-zu-mehr-datenschutz-auf-a-911445.html von Ihnen berichtet wurde.

Ein weit entwickeltes und verbreitetes Anonymisierungs- und Verschlüsselungstool ist das TOR-Netzwerk (vgl. https://www.torproject.org). Dieses anonymisiert und verschlüsselt die Webnutzung, benötigt dafür jedoch teilnehmende Rechner/Nutzer in ausreichender Zahl, über die die Daten verschlüsselt geleitet werden können. Ihrem Aufruf nach sollten die Deutschen unter anderem auch solche Verschlüsselungstechniken einsetzen, da diese nach heutigem Forschungsstand tatsächlich die anonyme und nicht rückverfolgbare Nutzung von Webdiensten ermöglicht. Hier existieren zwei größere Problemfelder, zu denen eine klare öffentliche Stellungnahme Ihrerseits einmal notwendig und weiterhin konsequent wäre.

1. Rechtliche Gefährdung der Betreiber von TOR-Ausgangsservern, den sogenannten „Exit Nodes“

Kurz gesagt: wer in Deutschland einen Tor-Exitnode betreibt, läuft Gefahr, für alle Handlungen von TOR-Nutzern, die über seinen Rechner geleitet wurden, haftbar gemacht zu werden.

TOR leitet die Anfrage eines Nutzers über drei Netzwerkknoten. Von dritten Knoten aus wird die Anfrage an ihr Ziel geschickt. Der Betreiber des dritten Knotens verbindet sich somit für den Anbieter sichtbar mit dem Zieldienst bzw. schickt diesem die Daten des eigentlichen, anonymisierten TOR-Nutzers. Handelt es sich dabei um ein illegales Angebot, dessen Klienten bereits Ziel von entsprechenden Ermittlungen sind oder werden, so erscheint die IP des „Exit Nodes“ möglicherweise in den Logdateien des Anbieters. Ebenso können beispielsweise Filesharing-Angebote urheberrechtlich geschützter Medien über einen Exit-Node ausgeleitet und von Überwachungsmaßnahmen von Rechteinhabern erfasst und entsprechend abgemahnt werden. Weiter könnten auch illegale Inhalte – Aufrufe zu Straftaten, Bedrohungen etc. – über den TOR-Exitnode an Dritte geschickt werden.

Das sind keine hypothetischen Einzelfälle, sondern die Ursache, dass kaum jemand in Deutschland das Risiko eingeht, einen Exit-Node zu betreiben. Diejenigen, die das dennoch tun, müssen sich mit einer Vielzahl rechtlicher Risiken und erheblichem Aufwand bei der Aufklärung und Vermeidung juristischer Schwierigkeiten und Haftungsfragen auseinandersetzen, wie es beispielsweise auf https://www.privacyfoundation.de/wiki/Erste-Hilfe-fuer-Torbetreiber dokumentiert wird.

Nun steht außer Frage, dass die Exitnodes für ein funktionierendes Verschlüsselungs- und Anonymisierungs-Netzwerk zwingend vonnöten sind. Einerseits die Bürger zu vermehrter eigener Sorge um Verschlüsselung und Datenschutz aufrufen und andererseits das Betreiben der dafür notwendigen Infrastruktur in Deutschland rechtlich zu erschweren, geht nicht zusammen.

Meine konkrete Frage: Werden Sie sich persönlich und öffentlich dafür einsetzen, dass die rechtliche Lage der Betreiber von TOR-Exitnodes verbessert wird? Werden Sie sich dafür einsetzen, dass den Betreibern eine rechtliche Handhabe gereicht wird, um sich gegen Abmahnkosten und Schadensersatzforderungen absichern zu können?

2. Netzneutralität und Drosselpläne für „Internet-Flatrates“

TOR ist trafficintensiv – da ein Datenpaket über drei TOR-Knoten geroutet wird, kann als einfache Faustregel angenommen werden, dass die Anonymität und Sicherheit des Netzes mit einem um mindestens Faktor 3 höheren Datenaufkommen erkauft wird. Weiter hängt die Sicherheit von der Dezentralität des Netzes ab, sprich, es sollte möglichst viele Mitglieder haben, die auch Bandbreite zur Verfügung stellen. Beim Stand des heutigen Breitband-Ausbaus in Deutschland gibt es hier sehr hohe Potentiale, da auch bereits ein DSL-Anschluss mittlerer Kapazität einen relevanten Beitrag zu einem funktionierenden TOR-Netzwerk leisten kann.

Stellt man die halbe Bandbreite eines DSL-Anschlusses mit 10 MBit Upstream für TOR zur Verfügung, so fallen im Monat mehrere hundert Gigabyte übertragenes Datenvolumen an. Im Interesse der Bundesregierung sollte es liegen, dass möglichst viele Nutzer so handeln und einen Teil ihrer Bandbreite dem Datenschutz zur Verfügung stellen. Die Deutsche Telekom hat mit den 75 GB, die bei den ersten Plänen zur Flatrate-Drosselung diskutiert wurden, eine Größenordnung beziffert, ab der sie genutzte Bandbreite ihrer Kunden als problematisch betrachtet. Unschwer zu erkennen, dass ein TOR-Nodebetreiber hier deutlich – Größenordnung Faktor 10 – darüber liegt.

Abgesehen von den zusätzlichen Kosten, die so möglicherweise auf diejenigen Bürger zukommen, die dem Aufruf des derzeitigen Innenministers Folge leisten, steht auch zu befürchten, dass die Pläne zur Abschaffung der Netzneutralität zur Folge haben, dass TOR-Traffic mit niedrigerer Priorität behandelt wird als von den Anbietern separat bezahlter „Premium-Traffic“ – so werden ISPs bereits über „Durchleitungsgebühren“ dafür bezahlt, beispielsweise Youtube-Datenverkehr bevorzugt an die Kunden auszuliefern (vergleiche beispielsweise http://www.zeit.de/digital/internet/2013-01/google-france-telecom-orange-netzneutralitaet). Es ist zu erwarten, dass TOR-Traffic definitiv keine solche Priorisierung erhält, die Provider somit aktiv die Nutzung sicherer Kommunikationskanäle erschweren und der Überwachung der Bürger durch ausländische Dienste Vorschub leisten.

Meine konkrete Frage: Werden Sie sich persönlich und öffentlich dafür einsetzen, dass Pläne der ISPs zur Drosselung von „Flatrates“ im Interesse des Datenschutzes und besserer Verschlüsselung verhindert werden? Werden Sie sich öffentlich dafür einsetzen, dass keine Priorisierung von kommerziellem Datenverkehr durch „Durchleitegebühren“ gegenüber der notwendigen verschlüsselten Datenpakete des TOR-Netzwerks stattfindet?

Abschließend möchte ich die „Techniklastigkeit“ meines Schreibens entschuldigen – die Thematik ist jedoch komplex und wenn man den Rat des Innenminister befolgen will, sich vermehrt selbst um Verschlüsselung zu kümmern, stößt man unter anderem auf exakt diese Probleme.

Ich erwarte jedoch, dass die Bundesregierung und andere staatliche Stellen in Bezug auf diese Fragen aktiv werden. Im Unterschied zu den Überwachungsmaßnahmen durch ausländische Dienste haben sie in diesen konkreten Bereichen Gestaltungsmacht, Einfluss- und Steuerungsmöglichkeiten, und ich erwarte, dass diese Handlungsspielräume auch genutzt werden.

Ich habe mir erlaubt, Anfragen in dieser Sache auch an den Datenschutzbeauftragten des Bundes, Peter Schaar, das BSI sowie die Bundeszentrale für Verbraucherschutz zu stellen. Art und Inhalt der Antworten möchte ich veröffentlichen.

Ich freue mich auf Ihre Antwort,
$unterschrift

(Ende Anschreiben.)

Nachträge/Bezugnahmen:

Das BMI ist nicht wirklich auf Friedrichs „Datenschutz selbermachen“-Statement vorbereitet. Auf den IT/Netzpolitik-Seiten des BMI sind nach wie vor noch de Mazieres 14 Thesen von 2010 prominent platziert, in denen unter anderem die These 5 wert ist, in Gänze zitiert zu werden:

These 5 – Anonymität und Identifizierbarkeit abwägen
Der freie Bürger zeigt sein Gesicht, nennt seinen Namen, hat eine Adresse. Gleichzeitig sind wir es gewohnt, im Alltag grundsätzlich unbeobachtet zu handeln. Beides muss auch im Internet normal bleiben. Eine schrankenlose Anonymität kann es jedoch im Internet nicht geben.
Es muss sichergestellt sein, dass die Anforderungen an die Identifizierung unter Wahrung des Verhältnismäßigkeitsgrundsatzes danach ausgestaltet sind, welchem Zweck sie dient, welche Grundrechte betroffen sind, ob der Betroffene sich im privaten, sozialen oder öffentlichen Bereichen des Internets bewegt und ob er einen Anlass für die Identifizierung gegeben hat. Wichtige Rechtsgeschäfte brauchen immer bekannte Gläubiger und Schuldner.

UASY.

Der Bundesdatenschutzbeauftragte Peter Schaar hat sich recht deutlich positioniert in Sachen „Prism geht gar nicht“, aber bleibt weitgehend beim „Hört auf damit!“ atehen:

Wir brauchen klare internationale Regelungen, die den Grundrechten und Verfassungsprinzipien der Verhältnismäßigkeit, der Transparenz und der effizienten Kontrolle angemessen Rechnung tragen. Wir brauchen auch eine schnelle, effiziente und umfassende Aufklärung der derzeitigen Sachlage.

Dass sich Bürger selber um entsprechende Verschlüsselung und Anonymisierung kümmern sollten und kommten, steht weniger in seinem Fokus. Das halte ich btw. für vollkommen in Ordnung, schließlich ist sein Job in erster Linie der, die staatlichen Stellen zu kritisieren.

Der vzbv scheint die angesprochenen Probleme an sich zu unterstützen. Eine Reaktion der Bundesregierung bezüglich der Ausspähprogramme wird eingefordert einerseits, weiter positioniert man sich eindeutig für eine Sicherung der Netzneutralität in Deutschland.

Das BSI scheint sich in Sachen Prism und Konsorten aktuell vornehm zurückzuhalten. Mag sein, dass der Arbeitsschwerpunkt eben in der Sicherung der Strukturen des öffentlichen Dienstes liegt, aber naja.

Kategorie: Uncategorized Tags: , , , , , . Permalink.

8 Responses to TOR, Datenschutz und Anonymisierung: ein paar offene Briefe

  1. Joh sagt:

    …mal davon abgesehen, wie schwer es überhaupt ist, mittels geeignetem hoster einen exit Node zu betreiben. die meisten großen Anbieter untersagen das mittlerweile in ihren AGB s, da fängt die unterhölung ja schon an… Ich hätte bei bis zu vier dicken root servern die Kapazitäten locker, aber 2faches Risiko, Kündigung durch hoster und Behörden die nicht wissen was sie tun, also lässt man es….und wie war das, wenn man anfängt sein verhalten anzupassen!? Brave New world….

  2. Avatar-Foto Korrupt sagt:

    Joh, sind wir beieinander. Ich hatte die Server nicht separat angesprochen, weils a) eh schon arg viel Text ist und weils mir b) grade darum geht, dass *jeder* da was machen kann und nicht nur ein kleiner Teil Techelite, der eben die Kiste im RZ stehen hat. Mich nervt grade die Diskussion, wie „elitär“ Verschlüsselung nun ist uisw., die Diskussion, wessen Angelegenheit das ist, wilml ich an sich gar nicht anfangen, ich will in erster Linie, dass jeder die Möglichkeit hat, was zu tun, auch und grade, wenn eben „nur“ die eigene Leitung die Ressource ist. Und dass keiner denkt, das ist was, wo sich die Freaks drum kümmern sollen, die eh die Kisten stehen haben und auch schon mal eine Abusemeldung aus der Nähe gesehen haben.

  3. Klaus sagt:

    Wahrscheinlich kommt da zurück „Danke für Ihre interessante Frage, die wir nicht beantworten werden.“

    Oder eine Antwort, die nicht zur Frage passt.

  4. Avatar-Foto Korrupt sagt:

    Nein, aber fast :) BMI war zuerst nun mit Antwort und sagte sinngemäß, dass da in der Tat das BSI zuständig sei, und das hätte ich ja auch angeschrieben, ergo solle ich von dort auf AW warten.

    Antwort meinerseits:

    $floskel,
    vielen Dank für die Antwort auf meine Anfrage. Selbstverständlich interessiert mich die Haltung des BSI zum Thema, dennoch glaube ich nicht, dass es Sache des BSI sein soll, zu Fragen der Haftung von Telekommunikationsdienstleistern rechtliche Empfehlungen oder gar Gesetzgebungsvorhaben in die Wege zu leiten. Ich denke, hier ist durchaus das Innenministerium der richtige Akteur und sollte über entsprechende Kompetenzen verfügen, insbesondere, nachdem der Innenminister selbst zu besseren privaten Datenschutzvorkehrungen aufgefordert hat. Auch die Frage, inwieweit Telekommunikationsdienstleister in die Pflicht genommen werden sollten, den Bürgern die Mittel zum vom Innenminister geforderten Eigenengagements in Sachen Datenschutzes zur Verfügung zu stellen, sehe ich in der Zuständigkeit des BMI – ich will nicht hoffen, dass Sie von Bürgern etwas verlangen, dessen Umsetzung Sie nicht selbst rechtlich unterstützen können.

    Am skeptischsten macht mich jedoch der Gedanke, Herr Friedrich hätte nur eine wohlfeile Verantwortungsabgabe an die Bürger vorgenommen, etwas eingefordert, von dessen realer Umsetzungsmöglichkeit er keine konkrete Vorstellung hat, und überließe es nun dem BSI, seiner vagen Bürgerverpflichtung zu „mehr Datenschutz“ eine wie auch immer geartete inhaltliche Füllung zu verleihen. Ich will nicht annehmen, dass ein Innenminister in einer Angelegenheit, die den Kern unserer Grundrechte berührt, sich derart frei von konkreter Kompetenz öffentlich äußert. Ich würde mir wünschen, Sie könnten mich diesbezüglich beruhigen.
    $floskel

    …ich bin ja gespannt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert