Arbeitskreis Digitale Gesellschaft

SPD Schleswig-Holstein

18. April 2015

Bürgerrechte
Singvogelfrei – garantiert!

Singvogel
Sing! Vogel! |Foto: Jim Bendon - CC BY-SA 2.0

Mal angenommen, man ist US-Kommunikationsprovider und erhält von der US-amerikanischen Behörde mit den drei Buchstaben den sogenannten National Security Letter (gewöhnlich eine vom FBI zugestellte Verfügung des Geheimgerichts FISA über die Herausgabe der Nutzerdaten) ausgehändigt. Strafandrohung für etwaige Rechtsverletzungen inbegriffen. Dann darf man eines mit Sicherheit nicht tun: die Nutzer darüber informieren, dass die Herausgabe ihrer Daten verlangt wird. Eine solche Veröffentlichung würde nämlich Sanktionen nach sich ziehen.

Was man aber offenbar tun darf, ist öffentlich zu machen, dass das Unternehmen (noch) nicht zur Herausgabe der Metadaten verpflichtet wurde.

„Warrant Canary“, frei übersetzt als „Zertifikat: Singvogelfrei“, ist eine legale Methode, mit der zahlreiche Unternehmen ihren Nutzern signalisieren können, ob sie ihre Daten an die Behörden herausgeben müssen (oder eher, ob sie es nicht tun) und dabei keine Sanktionen zu befürchten haben.

Technisch sind der Umsetzung der „Warrant Canary“ fast keine Grenzen gesetzt. Manche Provider informieren ihre Nutzer regelmäßig, alle paar Monate, darüber, dass sie zur Herausgabe der Nutzerdaten nicht verpflichtet wurden. Fällt die Benachrichtigung aus, ist anzunehmen, dass der Provider nunmehr den National Security Letter zugestellt bekommen hat.

Um die Integrität einer solchen „Warrant Canary“ zu gewährleisten, greifen Unternehmen gerne zu Verschlüsselung, Signaturen und E-Mail-Zertifikaten. Eine ähnliche Funktion erfüllen Bild-Zertifikate auf den Webseiten, die regelmäßig aktualisiert werden. Canary Watch beobachtet die Aktualisierungen und erstellt daraus eine Liste der Unternehmen, die nach eigenen Angaben noch keine Metadaten herausgeben müssen.

Das geht aber auch offline: Der Internetgigant Apple informierte beispielsweise im „Report on Government Information Requests“ vom November 2013 darüber:

„Apple has never received an order under Section 215 of the USA Patriot Act. We would expect to challenge such an order if served on us.“

Als diese Textpassage im Bericht vom Juni 2014 plötzlich fehlte, begannen die Spekulationen. „Apple schweigt laut“, so kommentierten die Medien das plötzliche Verschwinden des „Warant Canary“ aus dem Text des Berichtes.

Warrant Canary setzt die Idee des umgekehrten Beweises praktisch um. Hört das Unternehmen auf, den Empfang eines behördlichen „Befehls“ zur Herausgabe von Metadaten zu verneinen, darf angenommen werden, dass das Gegenteil davon der Fall ist, ohne dass das Unternehmen dies explizit bestätigt und dadurch in die Bredouille kommen würde. Der US-amerikanische Sicherheitsguru Bruce Schneier bezeichnet das als legales Hack des behördlichen bzw. gesetzlichen Verbots:

Instead of saying „I just received a warrant with a gag order“, the potential recipient keeps repeating „I have not received any warrants.“ If the recipient stops saying that, the rest of us are supposed to assume that he has been served one.

Fazit: Man darf nicht sagen, dass man überwacht, aber man darf aufhören zu sagen, dass man nicht überwacht. Die Botschaft ist klar.

Bruce Schneier glaubt allerdings, dass dies nicht mehr lange so bleiben wird. Der Grund: Ende März stimmte das australische Parlament über eine entsprechende Änderungen im Telecommunication Act 1979 ab.

Neben der zweijährigen-Pflicht zur Aufbewahrung von Telekommunikationsdaten (keine Inhalte der Kommunikation!) wurde ein spezieller Schutz für die Journalisten und ihre Informationsquellen, der „Journalist Information Warrant“, eingeführt, der das Abfragen von Metadaten hauptberuflicher Journalisten erheblich erschweren sollte.

Im selben Kontext verbietet das Gesetz aber auch den Einsatz von „Warrant Canaries“, indem es sowohl die Bekanntgabe einer Information über die Existenz wie auch über die Nichtexistenz eines solchen „Befehls“ zur Herausgabe von Metadaten unter eine Haftstrafe von zwei Jahren gestellt hat.

Bruce Schneier ist überzeugt davon, dass ähnliche Formulierungen schon sehr bald in den US-amerikanischen Gesetzen zu finden sein werden. Die kleine lexikalische Unachtsamkeit wäre damit wirksam behoben und der Nutzer bleibt ahnungslos.

Aleksandra Sowa

Leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik. Dozentin, Fachbuchautorin (u.a. "Management der Informationssicherheit", "IT-Revision, IT-Audit und IT-Compliance"), kürzlich erschien im Dietz-Verlag "Digital Politics - so verändert das Netz die Politik". Hier äußert sie ihre private Meinung.#Foto by Mark Bollhorst (mark-bollhorst.de)

More Posts

Follow Me:
TwitterLinkedInGoogle Plus

Schlagwörter: , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.