Arbeitskreis Digitale Gesellschaft

SPD Schleswig-Holstein

18. April 2015

Bürgerrechte
Singvogelfrei – garantiert!

Singvogel
Sing! Vogel! |Foto: Jim Bendon - CC BY-SA 2.0

Mal ange­nom­men, man ist US‐​Kommunikationsprovider und erhält von der US‐​amerikanischen Behör­de mit den drei Buch­sta­ben den soge­nann­ten Natio­nal Secu­ri­ty Let­ter (gewöhn­lich eine vom FBI zuge­stell­te Ver­fü­gung des Geheim­ge­richts FISA über die Her­aus­ga­be der Nut­zer­da­ten) aus­ge­hän­digt. Straf­an­dro­hung für etwai­ge Rechts­ver­let­zun­gen inbe­grif­fen. Dann darf man eines mit Sicher­heit nicht tun: die Nut­zer dar­über infor­mie­ren, dass die Her­aus­ga­be ihrer Daten ver­langt wird. Eine sol­che Ver­öf­fent­li­chung wür­de näm­lich Sank­tio­nen nach sich zie­hen.

Was man aber offen­bar tun darf, ist öffent­lich zu machen, dass das Unter­neh­men (noch) nicht zur Her­aus­ga­be der Meta­da­ten ver­pflich­tet wur­de.

„War­rant Cana­ry“, frei über­setzt als „Zer­ti­fi­kat: Sing­vo­gel­frei“, ist eine lega­le Metho­de, mit der zahl­rei­che Unter­neh­men ihren Nut­zern signa­li­sie­ren kön­nen, ob sie ihre Daten an die Behör­den her­aus­ge­ben müs­sen (oder eher, ob sie es nicht tun) und dabei kei­ne Sank­tio­nen zu befürch­ten haben.

Tech­nisch sind der Umset­zung der „War­rant Cana­ry“ fast kei­ne Gren­zen gesetzt. Man­che Pro­vi­der infor­mie­ren ihre Nut­zer regel­mä­ßig, alle paar Mona­te, dar­über, dass sie zur Her­aus­ga­be der Nut­zer­da­ten nicht ver­pflich­tet wur­den. Fällt die Benach­rich­ti­gung aus, ist anzu­neh­men, dass der Pro­vi­der nun­mehr den Natio­nal Secu­ri­ty Let­ter zuge­stellt bekom­men hat.

Um die Inte­gri­tät einer sol­chen „War­rant Cana­ry“ zu gewähr­leis­ten, grei­fen Unter­neh­men ger­ne zu Ver­schlüs­se­lung, Signa­tu­ren und E‐​Mail‐​Zertifikaten. Eine ähn­li­che Funk­ti­on erfül­len Bild‐​Zertifikate auf den Web­sei­ten, die regel­mä­ßig aktua­li­siert wer­den. Cana­ry Watch beob­ach­tet die Aktua­li­sie­run­gen und erstellt dar­aus eine Lis­te der Unter­neh­men, die nach eige­nen Anga­ben noch kei­ne Meta­da­ten her­aus­ge­ben müs­sen.

Das geht aber auch off­line: Der Inter­net­gi­gant Apple infor­mier­te bei­spiels­wei­se im „Report on Government Infor­ma­ti­on Requests“ vom Novem­ber 2013 dar­über:

„Apple has never recei­ved an order under Sec­tion 215 of the USA Patri­ot Act. We would expect to chal­len­ge such an order if ser­ved on us.“

Als die­se Text­pas­sa­ge im Bericht vom Juni 2014 plötz­lich fehl­te, began­nen die Spe­ku­la­tio­nen. „Apple schweigt laut“, so kom­men­tier­ten die Medi­en das plötz­li­che Ver­schwin­den des „Warant Cana­ry“ aus dem Text des Berich­tes.

War­rant Cana­ry setzt die Idee des umge­kehr­ten Bewei­ses prak­tisch um. Hört das Unter­neh­men auf, den Emp­fang eines behörd­li­chen „Befehls“ zur Her­aus­ga­be von Meta­da­ten zu ver­nei­nen, darf ange­nom­men wer­den, dass das Gegen­teil davon der Fall ist, ohne dass das Unter­neh­men dies expli­zit bestä­tigt und dadurch in die Bre­douil­le kom­men wür­de. Der US‐​amerikanische Sicher­heits­gu­ru Bruce Schnei­er bezeich­net das als lega­les Hack des behörd­li­chen bzw. gesetz­li­chen Ver­bots:

Ins­tead of say­ing „I just recei­ved a war­rant with a gag order“, the poten­ti­al reci­pi­ent keeps repea­ting „I have not recei­ved any war­rants.“ If the reci­pi­ent stops say­ing that, the rest of us are sup­po­sed to assu­me that he has been ser­ved one.

Fazit: Man darf nicht sagen, dass man über­wacht, aber man darf auf­hö­ren zu sagen, dass man nicht über­wacht. Die Bot­schaft ist klar.

Bruce Schnei­er glaubt aller­dings, dass dies nicht mehr lan­ge so blei­ben wird. Der Grund: Ende März stimm­te das aus­tra­li­sche Par­la­ment über eine ent­spre­chen­de Ände­run­gen im Telecom­mu­ni­ca­ti­on Act 1979 ab.

Neben der zweijährigen‐​Pflicht zur Auf­be­wah­rung von Tele­kom­mu­ni­ka­ti­ons­da­ten (kei­ne Inhal­te der Kom­mu­ni­ka­ti­on!) wur­de ein spe­zi­el­ler Schutz für die Jour­na­lis­ten und ihre Infor­ma­ti­ons­quel­len, der „Jour­na­list Infor­ma­ti­on War­rant“, ein­ge­führt, der das Abfra­gen von Meta­da­ten haupt­be­ruf­li­cher Jour­na­lis­ten erheb­lich erschwe­ren soll­te.

Im sel­ben Kon­text ver­bie­tet das Gesetz aber auch den Ein­satz von „War­rant Cana­ries“, indem es sowohl die Bekannt­ga­be einer Infor­ma­ti­on über die Exis­tenz wie auch über die Nicht­exis­tenz eines sol­chen „Befehls“ zur Her­aus­ga­be von Meta­da­ten unter eine Haft­stra­fe von zwei Jah­ren gestellt hat.

Bruce Schnei­er ist über­zeugt davon, dass ähn­li­che For­mu­lie­run­gen schon sehr bald in den US‐​amerikanischen Geset­zen zu fin­den sein wer­den. Die klei­ne lexi­ka­li­sche Unacht­sam­keit wäre damit wirk­sam beho­ben und der Nut­zer bleibt ahnungs­los.

Aleksandra Sowa

Lei­te­te zusam­men mit dem deut­schen Kryp­to­lo­gen Hans Dob­ber­tin das Horst Görtz Insti­tut für Sicher­heit in der Infor­ma­ti­ons­tech­nik. Dozen­tin, Fach­buch­au­torin (u.a. „Manage­ment der Infor­ma­ti­ons­si­cher­heit“, „IT‐​Revision, IT‐​Audit und IT‐​Compliance“), kürz­lich erschien im Dietz‐​Verlag „Digi­tal Poli­tics — so ver­än­dert das Netz die Poli­tik“. Hier äußert sie ihre pri­va­te Mei­nung.#Foto by Mark Boll­horst (mark-bollhorst.de)

More Posts

Fol­low Me:
TwitterLinkedInGoogle Plus

Schlagwörter: , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.