Archiv für September 2006

on TOR / PGP ins Trinkwasser

the onion router

Beyond the revolution in cryptography (< -- Link zur Softwareauswahl- klicken)

Offenbar verlieren die deutschen Strafverfolgungsbehörden inzwischen auch den letzten Hauch von Rücksicht auf die Privatsphäre von Internetnutzern. Gestern beschlagnahmte die Polizei auf Anweisung der Staatsanwaltschaft Konstanz bundesweit bei sieben Internet-Server-Hosting-Providern mehr als zehn dedizierte Mietserver oder Teile davon, was deren weiteren Betrieb vorübergehend oder immer noch unmöglich macht. Und das, obwohl den Strafverfolgern vorab schon bekannt war, dass die beschlagnahmten Anonymisierungsserver keineswegs zur Sammlung von Indizien oder Beweisen taugen.
Auf mehreren der betroffnenen Servern lief die Anonymisierungssoftware TOR. Diese Software ermöglicht es allen Internetnutzern Daten von Internet-Angeboten (z.B. Websites) in einer Weise abzurufen, die verhindert, dass ihre eigene IP-Adresse auf dem Zielserver protokolliert werden kann. Dies wird dadurch erreicht, dass die Verbindung nicht direkt vom Internetnutzer zum Internetserver aufgebaut wird, sondern durch mehrere Server, auf denen die TOR-Software läuft, durchgeschliffen wird. So ist dem Internet-Server, der den eigentlichen Dienst anbietet, nicht bekannt, wer tatsächlich die Daten abgerufen hat. Auch den TOR-Servern ist nicht bekannt, wer die Inhalte durch sie durchschleift. Sogar die durschgeschliffenen Inhalte kennen sie zumindest in einigen Fällen nicht, da diese verschlüsselt werden. Darüber hinaus werden von TOR-Servern keine Logdateien angelegt.

Wie aus den Durchsuchungsbeschlüssen hervorgeht, ist der Staatsanwaltschaft Konstanz die Funktionsweise des TOR-Systems durchaus bekannt gewesen, bevor sie die Razzia einleiten ließ. Die Unbrauchbarkeit von TOR-Servern als Beweismittel bei der Festellung von Straftaten war den Initiatoren also durchaus bewusst, als sie die Razzia gegen eine Reihe von Servern, die die Anonymisierungssoftware betreiben, einleitete. Es ist darüber hinaus durchaus üblich, dass neben dem TOR-Dienst noch mehrere weitere, davon völlig unabhängige Dienste auf dem gleichen Server betrieben werden, dies ist wohl eher die Regel als die Ausnahme. Dies war bei der am Donnerstag (07.09.2006) durchgeführten Razzia in mindestens zwei Fällen (weitere sidnd bisher nicht bekannt geworden) auch gegeben. Sämtliche weiteren auf diesen Servern betriebenen Dienste waren ebenfalls von einer Abschaltung betroffen und gingen ebenfalls ohne Vorwarnung vom Netz.

In mindestens einem Fall wurden nach Beendigung der polizeilichen Maßnahmen nicht etwa die ursprünglichen, nach jetzigem Kenntnisstand völlig unverfänglichen Daten, dem Betreiber des beschlagnahmten TOR-Servers nicht wieder zur Verfügung gestellt, sondern stattdessen sämtliche Daten auf der Festplatte des Servers, inklusive dem Betriebssystem, entfernt oder nicht wieder zur Verfügung gestellt. Der Serverbetreiber wurde dadurch gezwungen, mehrere Stunden Arbeit aufzuwenden um das Betriebssystem wieder selbständig zu installieren, und die – glücklicherweise existierenden – Backups wieder auf dem Server einzuspielen. Den aus der offenbar völlig ungerechtfertigten Beschlagnahmung des Servers entstandenen Aufwand wird ihm vermutlich niemand ersetzen.

Zwar ist dies hier nicht relevant, da die TOR-Server keine beweiskräftigen Daten aufzeichnen, und eine Beschlagnahmung der Server somit unsinnig ist, es sollte aber dennoch erwähnt werden, was der Auslöser für die Razzia war: die Staatsanwaltschaft ermittelt offenbar in einem Fall von Kinderpornographie. Dass die Erstellung, Weitergabe und ‚Verwendung‘ von Kinderpornographie keinesfalls akzeptablel ist ist keinerlei Diskussion wert. Dass dieses Argument aber offenbar gerne als Totschlagargument von Strafverfolgungsbehörden verwendet wird, kann genausowenig akzeptiert werden.

Dass die Weiterleitung der illegalen Inhalte vermutlich über die beschlagnahmten TOR-Server ohne wissen oder Möglichkeit zur Einflussnahme seitens der Serverbetreiber erfolgte darf absolut nicht als Grundlage dienen, diese Anonymisierungsinfrastruktur sowie alle weiteren auf diesen servern betriebenen Dienste zu löschen oder zu deaktivieren, auch nicht vorübergehend. Die Weiterleitung von illegalen Inhalten über diese Server ist sicherlich nicht schön. Die einzige Möglichkeit einen sinnvollen Anonymisierungsdienst zu betreiben ist es jedoch diesen Umstand in Kauf nehmen zu müssen. Problematisch ist hier aber nicht die Weiterleitung dieser Inhalte, sondern deren Erstellung, deren Zurverfügungstellung auf dem ursprünglichen Webserver und die Nutzung dieser Daten. Der Ansatz der Strafverfolgungsbehörden, nicht nur umfangreiche ‚Kollateralschäden‘ sondern offenbar sogar für die wissentliche Beschlagnahmung von Infrastrukturen, die mit dem eigentlichen Fall nichts zu tun haben, nicht nur in Kauf zu nehmen sondern wissentlich und vorsätzlich zu initiieren ist mehr als fragwürdig.

Es wird allerhöchste Zeit, dass Internetnutzer, Politiker und Parteien die Notwendigkeit eines verbrieften Rechts zur anonymen (und damit die Privatsphäre der Nutzer schützenden) Nutzung des Internets als populäres Thema in der Bevölkerung, aber auch bei Internet-Service-Providern, die sich ehr und mehr mit Systemen zur Speicherung von Bergen von Nutzungsdaten befassen und diese finanzieren müssen, begreifen.

Der Missbrauch ihrer Befugnisse durch die Strafverfolgungsbehörden nimmt in diesem Bereich nicht erst, aber mit stark erhöhtem Tempo, seit dem 11. Spetember 2001 zu. Die Tendenz zeigt leider keinesfalls einen Rückgang der datenschutz- und anonymisierungsfeindlichen und repressiven Maßnahmen, vielmehr wird es schlimmer und schlimmer. Die Datenschutzbeauftragten wissen nicht mehr wo ihnen der Kopf steht, sie tun was in ihrer Macht steht, aber ihnen sind die Hände gebunden. Sie dürfen nur warnen (was sie ständig tun), haben aber leider abgesehen davon, dass sie vom Gesetzgeber angehört werden sollen, keinerlei Rechte, und erreichen die Bevölkerung schon lange nicht mehr. Vielen Internetnutzern ist die statige Verschlimmerung der Situation offenbar nicht bewusst, und bei den Parteien herrscht offenbar die Angst vor, die technischen Hintergründe seien zu komplex um vermittelbar zu sein und sich als politisches Thema zu eignen. Vergleiche mit nicht-technischen Gegegenheiten wie der Telefonie oder Briefpost wären für eine vereinfachende und vergleichende Darstellung aber durchaus hilfreich und ausreichend um einem nicht technisch gebildeten Publikum die Gegegenheiten zu vermitteln. Schließlich nehmen Überwachung und Repression gegenüber die Privatsphäre der Nutzer schützenden Diensten in allen Bereichen mehr und mehr zu, ein Umstand, den wir nicht länger tolerieren dürfen.

Vielen Politikern scheint aber auch heute noch nicht bewusst zu sein, dass sichernde Maßnahmen einerseits und Datenschutz und Schutz der Privatsphäre des Einzelnen andererseits zwar Schnittpunkte haben, aber keineswegs vollkommen gegensätzliche Interessen sind. Es ist durchaus möglich, die Sicherheit einer Infrastruktur zu erhöhen, ohne einen Großteil der persönlichen und Nutzungs-Daten der Anwender zugänglich zu machen und damit unwiderruflich dem potenziellen Mißbrauch auszuliefern. Häufig scheint es, als seien Politiker falsch und sehr einseitig beraten, wenn es um die Diskussion von neuen Maßnahmen zur Sicherung von Infrastrukturen geht. Dass dabei mehr und mehr Gesetze entstehen, die jedeR Einzelnen/m ihre/seine bisherigen persönlichen Rechte absprechen ist eine in vielen Fällen völlig unnötige, da vermeidbare, Folge. Es bleibt zu hoffen, dass mal wieder „ein Ruck durch Deutschland geht“, und diesmal einer, der die in den vergangenen 5 Jahren vorgenommene und weiterhin vorangetriebene Kastration der persönlichen Rechte der in diesem Land (und in vielen anderen Ländern) lebenden Menschen etwas entgegen setzt.

heise online: Anonymisierungsserver bei Razzia beschlagnahmt
http://www.heise.de/newsticker/meldung/77915

TOR-Mailingliste: Thread zur Server-Beschlagnahmung
http://archives.seul.org/or/talk/Sep-2006/msg00107.html

Gentoo-Forum: Thread zur Server-Beschlagnahmung
http://forums.gentoo.org/viewtopic-t-496214.html

Anonymisierungssoftware The Oninon Router (TOR)
http://tor.eff.org

heise online: Neue Demo gegen den Überwachungsstaat im Herbst
http://www.heise.de/newsticker/meldung/77953

Video-Workshop:PGP installieren:
http://de.indymedia.org/2006/09/156643.shtml

Quelle: indymedia