Die NSA-Affäre hat dazu geführt, dass Computernutzer ihre Kommunikationswege vermehrt schützen wollen – mit Verschlüsselung

Das Datenschutzparadigma hat sich geändert. Nicht mehr der Staat, sondern der Bürger selbst soll sich gefälligst um den Schutz seiner privaten Daten kümmern, meint Bundesinnenminister Hans-Peter Friedrich (CSU). Schließlich liegen die Daten der Deutschen um den Globus verstreut auf den Servern der Internetdienstleister, aber das deutsche Datenschutzrecht greift nur innerhalb nationaler Grenzen. Infolge der NSA-Affäre hat das Interesse an Verschlüsselungen nun tatsächlich den ganz normalen Internetnutzer erreicht. So treffen sich in diesen Tagen landauf, landab Menschen zu sogenannten Cryptopartys (Kryptologie = Wissenschaft von der Informationssicherheit) und lassen sich von Eingeweihten zumindest die Grundzüge der sicheren Internetkommunikation beibringen.

Die Verschlüsselung von Botschaften hat schon das Schicksal von Nationen entschieden. Legendär ist die Geschichte der deutschen Chiffriermaschine Enigma im Zweiten Weltkrieg und ihre folgenreiche Ausforschung durch britische Geheimdienste. Doch die Wurzeln der Verschlüsselung reichen viel tiefer. Als ältestes gesichertes Dokument der Verschlüsselungsgeschichte gilt eine Tontafel. Sie wurde 1500 Jahre vor unserer Zeitrechnung in Mesopotamien hergestellt. Ihre Keilschrift war die einfachste aller Verschlüsselungen: eine individuelle Geheimschrift. Ihr Schlüssel wurde bis heute nicht gefunden.

Die jüngere Geschichte der Kryptologie begann in den 1970er-Jahren mit dem Siegeszug des Computers. Als universelle Maschine eroberte er auch dieses Teilgebiet der Mathematik an der Schnittstelle zur Informatik. 1976 entwickelten IBM und die NSA den ersten Standard für behördeninterne Verschlüsselung in den USA. Seit 1991 steht mit dem System „Pretty Good Privacy“ (PGP) des amerikanischen Internet-Bürgerrechtlers Phil Zimmermann ein Verschlüsselungswerkzeug für jedermann zur Verfügung, das seitdem entscheidende Verbesserungen erfahren hat und immer noch als Standard gilt.

Verschlüsselung ist offenbar die einzige verbliebene Chance, im Internet Privatsphäre zu wahren. Noch in den 1990er-Jahren bestand die deutsche Bundesregierung darauf, dass der Staat die Dechiffriergewalt für jede privat genutzte Verschlüsselung behalten müsse. Das aber sieht die amtierende Bundesregierung anders. Sie hat den Weg etwa für die „De-Mail“ frei gemacht. Das ist ein System auf Internetbasis zur verschlüsselten Kommunikation – beispielsweise zwischen Bürgern und Behörden. Allerdings sieht dieses System keine „Ende-zu-Ende-Verschlüsselung“ vor: Nachrichten werden auf Zwischenstationen bei der Übermittlung ent- und wieder verschlüsselt, sodass ein Zugriff Dritter auf den Klartext nicht auszuschließen ist.

Wer sich mit dem Schutz seiner Internetkommunikation beschäftigt, muss gegen ein ausgeklügeltes System der Ausforschung antreten. Denn Internet, Handy und all die oft scheinbar „kostenlosen“ Anwendungen sollen vor allem eines: ihren Konstrukteuren und Betreibern so viele Daten des Nutzers wie nur irgend möglich beschaffen. Dabei sind die Geheimdienste nur das letzte Glied in der Fresskette der diversen Datenkraken. Google, Facebook, Apple, Microsoft, Yahoo und all die anderen vornehmlich in den USA beheimateten Netzdienstebetreiber haben alle das gleiche Geschäftsmodell: kostenfreier Service gegen private Daten, zum Beispiel zur Konsumenten-Profilbildung für die Werbewirtschaft.

Wie einfach dabei aus scheinbar anonymisierten Daten wieder personenbezogene gemacht werden können, weiß nicht nur die NSA. Deshalb fängt persönliche Datensicherheit nicht erst beim Verschlüsseln des Inhalts von Netzbotschaften, wie zum Beispiel E-Mails, an. Denn das Internet, wie auch die Handy-Netze, sind sich selbst dokumentierende Systeme. Das heißt, bei der Benutzung fallen Unmengen von Datenspuren an, die ganz spezifisch auf den individuellen Benutzer hinweisen und automatisch gespeichert werden.

Mindestvoraussetzung für den Schutz persönlicher Daten ist deshalb anonymes Surfen im Netz – am besten mit mehreren und abwechselnden Scheinidentitäten und der Nutzung von Anonymisierungsdiensten wie „Tor“ oder (kostenpflichtig) „Cyberghost VPN“. Das Prinzip: Der eigene Internetverkehr wird über Zwischenrechner geleitet, die eine Rückverfolgung zum Benutzer unmöglich machen. Das funktioniert freilich nur beim Internetzugriff über Festnetzleitungen, nicht bei der mobilen Kommunikation.

Sind auf diesem Wege die Verbindungsdaten (wann und wo surfe ich, wohin, wie lange) verschleiert, geht es an die Verschlüsselung der ausgetauschten Inhalte per Chat oder E-Mail. Hierfür stehen zwar Werkzeuge bereit, etwa das schon erwähnte „Pretty Good Privacy“. Die Anwendung will aber geübt sein und setzt den Austausch von Schlüsseln zwischen denjenigen voraus, die die Botschaften austauschen wollen.

Mobile Kommunikation via Tablets oder Smartphones ist für Datenschützer dagegen ein Albtraum, und das wird sie wohl auch bleiben. Das Problem ist nämlich systemisch bedingt und von den großen Betreibern der Mobilfunksysteme gewollt. Dem iPhone von Apple ist ebenso wie den Geräten mit Android (Google) oder Windows Phone 8 (Microsoft) das Ausspähen von persönlichem Adressverzeichnis und anderen privaten Daten kaum abzugewöhnen. Es hilft lediglich, bei der Installation von Apps – soweit dies möglich ist – zu kontrollieren, auf welche Daten jeweils standardmäßig zugegriffen wird. Oft lassen sich diese Zugriffe einschränken. Ob allerdings die Apps tatsächlich den Restriktionen des Nutzers folgen, ist kaum überprüfbar.

Generell gilt: Wer einen Tablet-Computer oder ein Smartphone benutzt, offenbart sein Leben dem jeweiligen Betriebssystemlieferanten. Das fängt beim Standort und den Ortswechseln des Benutzers an, den der Mobilfunk-Provider unabhängig vom Internetgebrauch ständig protokolliert. Es geht weiter mit Kontaktdaten, ausgetauschten Botschaften, Lebensgewohnheiten. Das moderne Smartphone ist vollgepackt mit akustischen, optischen, Temperatur- und Bewegungssensoren. Allerdings stehen auch für den mobilen E-Mail-Verkehr und für mobile Chat-Anwendungen Verschlüsselungssysteme zur Verfügung. Außerdem kann der Benutzer beim Zugang zum E-Mail-Provider eine verschlüsselte Variante (SSL) wählen. Diese Technik wurde jedoch bereits so oft illegal angegriffen, dass sie nicht allzu verlässlich ist.

Einige Vorsichtsmaßnahmen, die ebenso für den Gebrauch stationärer Internetkommunikation gelten, bleiben dennoch. Diensteanbieter, die Firmenhauptsitz und Rechenzentren auf deutschem Boden haben, bieten die größte Gewähr, dass sie sich zumindest an die relativ restriktiven deutschen Datenschutzgesetze halten. Das gilt vor allem für sogenannte Cloud-Dienste, die den bequemen Zugriff von mehreren Geräten auf zentral abgespeicherte Daten (Musik, Fotos und vieles mehr) ermöglichen, aber datenschutztechnisch ein hohes unkalkulierbares Risiko darstellen. Der Zugriff ausländischer Dienste etwa auf Daten in externen Speichern, wie sie zum Beispiel die US-Unternehmen Google („Drive“), Microsoft („SkyDrive“) oder Dropbox anbieten, ist praktisch unbegrenzt.

Nutzer sozialer Netzwerke wie Facebook oder Google+ sind komplett den Anbietern und den an sie angeschlossenen Geheimdiensten ausgeliefert. Hier stimmt der Benutzer bereits bei der ersten Anmeldung seiner weitgehenden Entrechtung zu, was sich auch auf die eingestellten Fotos und Videos bezieht. Da der Nutzer selbst durch das Löschen seines Accounts einmal eingegebene Informationen nicht aus der Welt schaffen kann, bleibt dem datenschutzbewussten Nutzer hier nur, sich auf Inhalte zu beschränken, die man jederzeit auch auf einer Litfaßsäule an der Straßenecke veröffentlichen würde.