1. Anlasslose Datenspeicherung
Am heutigen Tag tritt die Vorratsdatenspeicherung (Pardon: »Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten«) nun offiziell in Kraft. Dahinter verbirgt sich die anlasslose Erfassung und Speicherung elektronischer Kommunikation und damit personenbezogener Daten. Ab dem 1. Juli 2017 sind Telekommunikationsanbieter dazu verpflichtet, folgende Verbindungsdaten der gesamten Bevölkerung zu erfassen:
- Speicherung der Standortdaten der Teilnehmer eines Mobiltelefonats für 4 Wochen
- Speicherung der Standortdaten bei der mobilen Internetnutzung für 4 Wochen
- Speicherung der Rufnummern, Zeit und Dauer aller Telefonate für 10 Wochen
- Speicherung der Rufnummern, Sende– und Empfangszeit aller SMS-Nachrichten für 10 Wochen (auch die Inhalte der SMS!)
- Speicherung der IP-Adresse aller Internetnutzer sowie Zeit und Dauer der Internetnutzung für 10 Wochen
Dabei spielt es keine Rolle, ob ein begründeter Verdacht besteht – wir werden also zunächst alle verdächtigt bzw. unter Generalverdacht gestellt. Unser Tun und Handeln kann in bestimmten Lebensbereichen also fast vollständig überwacht werden. Noch dazu ist für den Zugriff auf die gespeicherten Daten keine richterliche Anordnung notwendig. Bis das Gesetz vom Bundesverfassungsgericht in Karlsruhe (hoffentlich) wieder gekippt wird, müssen wir mal wieder technisch hochrüsten, um diese Datensammelwut zumindest einzuschränken.
Auf die Risiken dieser anlasslosen Datenspeicherung werde ich im vorliegenden Beitrag nicht mehr eingehen. Die hatte Gerald in einem Beitrag bereits ausführlich erörtert: Die Risiken von anlasslosen Datenspeicherungen.
2. Ich weiß, dass ich nichts weiß
Insbesondere die Nutzer eines Mobiltelefons werden von der Vorratsdatenspeicherung (VDS) empfindlich in ihrer Privatsphäre beeinträchtigt. Letztlich ist also fast jeder von uns betroffen. Schauen wir uns die zu speichernden Verbindungsdaten erneut im Detail an:
2.1 Standortdaten
[1] Speicherung der Standortdaten der Teilnehmer eines Mobiltelefonats für 4 Wochen
Sofern das Mobiltelefon eingeschaltet ist, können wir die Erfassung und Speicherung der Standortdaten schwer bzw. gar nicht vermeiden. Das Mobilgerät kommuniziert ständig mit dem nächstgelegenen Sendemast. Durch die Koordinaten des Sendemastes und dessen Reichweite lässt sich die Position eines Mobiltelefons ungefähr feststellen. Durch die Einbeziehung mehrerer benachbarter Sendemaste kann die Genauigkeit auf 25 m verbessert werden. Bei aktiviertem GPS erhöht sich die Genauigkeit auf nochmal bis zu 5 m. Im Wikipedia-Artikel GSM-Ortung könnt ihr bei Bedarf weitere Möglichkeiten und Techniken nachlesen.
[2] Speicherung der Standortdaten bei der mobilen Internetnutzung für 4 Wochen
Moderne Smartphones kommunizieren praktisch ständig mit der Außenwelt bzw. Internet-Diensten. Es wäre also utopisch, zu glauben, die Internetnutzung sinnvoll beschränken zu können. Selbstverständlich lassen sich die mobilen Daten deaktivieren oder die externe Kommunikation, bspw. mit Tools wie der AFWall+, einschränken. In der Praxis wird das Abschalten der Internetnutzung allerdings kaum sinnvoll umsetzbar sein, gerade wenn bspw. irgendwelche Messenger oder E-Mail-Clients installiert sind, die man auch unterwegs benutzen möchte.
Fazit: Die Erfassung und Speicherung der Standortdaten lässt sich nur dann sinnvoll einschränken bzw. vermeiden, wenn das Mobiltelefon ausgeschaltet wird oder das Mobilgerät einfach mal zu Hause bleibt.
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.2 Rufnummern, IP-Adresse und Co.
[3] Speicherung der Rufnummern, Zeit und Dauer aller Telefonate für 10 Wochen
Herkömmliche Telefonate über das Festnetz oder Mobilnetz werden unter Generalverdacht gestellt. Die Metadaten oder Inhalte bspw. eines Messengers sollen von der Vorratsdatenspeicherung hingegen unberührt bleiben. Beim Telefonieren sollten wir also auf quelloffene Software ausweichen, die im Idealfall eine verschlüsselte Audio- bzw. Videotelefonie ermöglicht:
Aus Bequemlichkeit wird sich wohl nicht jeder, die Software installieren bzw. seine Gewohnheiten anpassen wollen – allerdings ist genau das jetzt notwendig.
[4] Speicherung der Rufnummern, Sende– und Empfangszeit aller SMS-Nachrichten für 10 Wochen (auch die Inhalte der SMS!)
In den letzten Jahren ist die Zahl der verschickten SMS deutlich gesunken – nicht zuletzt aufgrund des Siegeszugs der Messenger-Apps. Allerdings bewegten wir uns in Deutschland im Jahr 2014 noch immer im Milliardenbereich (22,5). Im Jahr 2015 wird dies wohl nochmal abnehmen. Als Alternative zur SMS sollten insbesondere Smartphone Nutzer ihre Kommunikation ausschließlich über quelloffene Messenger abwickeln. Hier ein paar Anregungen:
- iOS: Signal, ChatSecure
- Android: Conversations (mein Favorit), Signal, ChatSecure
Nutzer eines »herkömmlichen« Mobilgeräts haben hier das Nachsehen, denn sie können nicht einfach auf einen Messenger zurückgreifen. Hier bleibt wohl nur der Verzicht auf SMS.
[5] Speicherung der IP-Adresse aller Internetnutzer sowie Zeit und Dauer der Internetnutzung für 10 Wochen
Über einen privaten oder geschäftlichen Internetanschluss fließen nahezu dauerhaft irgendwelche Daten. Sei es der Smart-TV, der Desktop PC oder der Kühlschrank, der gerade Milch nachbestellt. Für viele moderne Haushalte wird es also zunächst schon schwierig, alle Geräte zu identifizieren, die ins Internet dürfen. Damit ist auch fraglich, wie die staatlichen Behörden unterscheiden wollen, ob mein Kühlschrank während meiner Abwesenheit gerade eine Bestellung aufgibt oder ich tatsächlich über meinen Kühlschrank im Internet surfe… Was zählt also zur Kategorie »Internetnutzung« und was genau wird für 10 Wochen gespeichert? Wer dazu weitere Infos hat, der möge doch bitte die Kommentarfunktion nutzen oder mir eine E-Mail zukommen lassen. Aktuell ist nur klar, dass die IP-Adresse des Anschlusses (Privat, Geschäftlich, Mobil etc.) für 10 Wochen gespeichert wird. Der Grund dieser Speicherung erschließt sich mir allerdings nicht vollständig. Er macht nur dann Sinn, wenn auch die aufgerufenen IP-Adressen bzw. Verbindungsendpunkte im Internet erfasst werden.
Für den naheliegenden Fall, dass auch die aufgerufenen IP-Adressen erfasst werden, hier ein paar Tipps:
- Tor: Über das Tor-Netzwerk wird euer Internetverkehr verschlüsselt über mehrere Server geleitet. Nach meiner Auffassung macht die Nutzung von Tor allerdings nur dann Sinn, wenn ihr es richtig verwendet. In der Artikelserie »Not my data!« beschreibe ich neben der korrekten Nutzung von Tor, ebenfalls wie ihr den nicht staatlichen Datensammlern im Internet entgehen könnt. Tor lässt sich mit Orbot und Orfox auch auf einem Android-Gerät realisieren.
- VPN: Die schnellere Alternative zu Tor lautet VPN. Hierbei wird ein verschlüsselter Tunnel zwischen eurem Rechner und der VPN-Gegenstelle aufgebaut. Üblicherweise ist das ein Anbieter im Ausland. Beim Aufruf einer Webseite ist demnach nicht mehr eure IP-Adresse sichtbar, sondern aufgrund der Zwischenstation, die des VPN-Anbieters. Persönlich habe ich aufgrund der falschen und irreführenden Marketingversprechen von diversen VPN-Anbietern allerdings Vorbehalte gegen diese Variante. Hinsichtlich der VDS stellt die VPN-Technik allerdings ein probates Mittel dar.
Mit den dargestellten Maßnahmen lässt sich eine Art Black-Box kreieren. Der Verbindungsaufbau in das Tor-Netzwerk oder zu einem VPN-Anbieter wird zwar erfasst, allerdings ist aufgrund der Verschlüsselung nicht mehr feststellbar, welche weiteren Verbindungsendpunkte im Internet aufgerufen werden. Solltet ihr also euren gesamten Traffic über Tor bzw. ein VPN abwickeln, so wird es extrem schwierig festzustellen, ob ihr tatsächlich im Internet aktiv seid oder euer Kühlschrank lediglich eine Bestellung aufgibt. Aufgrund der Datenmengen lässt sich vermutlich ein Muster ableiten, aber selbst das kann wohl kaum als Beweis herangezogen werden.
Fazit: Gegen die Erfassung der Standortdaten von Mobilgeräten können wir technisch nicht viel ausrichten. Die weiteren Informationen, wie bspw., wer mit wem telefoniert oder welche IP-Adresse bzw. Verbindungsendpunkt im Internet aufgerufen wird, lässt sich hingegen »verschleiern«. Damit können wir uns der VDS bzw. der Sammlung von Metadaten zwar auch nicht vollständig entziehen, allerdings sind die gesammelten Informationen wenig aussagekräftig.
3. E-Mails (noch) außen vor
Die Speicherung von Metadaten bzw. Inhalten von E-Mails hat es nicht in den neuen Gesetzestext geschafft. E-Mails sind von der VDS also ausgenommen. Allerdings wird es wohl nicht lange dauern, bis erste Rufe nach einer Ausweitung zu hören sein werden. Es bleibt also abzuwarten, ob die Kritiker der VDS zuerst gehört werden, oder fehlgeleitete Politiker den Ausbau der VDS fordern.
4. Fazit
Wieder einmal steht die gesamte Bevölkerung unter Generalverdacht. Und wieder werden Parolen wie bspw. »Wer nichts verbrochen hat, hat doch nichts zu verbergen« geschwungen. Wer solche Aussagen tätigt, der scheint elementare Bestandteile unserer Menschenrechte vergessen zu haben. Mit der staatlichen VDS wird nämlich empfindlich in unsere Freiheitsrechte und damit in unsere Privatsphäre eingegriffen.
Noch dazu ist bislang nicht bewiesen, dass die VDS in irgendeiner Art bei der Verbrechensbekämpfung hilfreich ist. Darauf angesprochen wiederholen Politiker von Union und SPD gerne Einzelfälle, in denen die VDS angeblich geholfen hat oder vielmehr hätte. Und oftmals sind die Behauptungen Pro-VDS dann auch noch falsch. Solche Behauptungen sind gefährlich, erst recht dann, wenn sie nicht entlarvt werden. Denn:
Eine Lüge, die oft genug erzählt wird, wird irgendwann zur Wahrheit.
Es bleibt nur zu hoffen, dass zumindest das Bundesverfassungsgericht in Karlsruhe diesen erneuten Vorstoß für verfassungswidrig erklärt. Denn die Erforderlichkeit einer anlasslosen umfassenden Speicherung ist nach meiner Ansicht weder belegt noch mit unserem Grundgesetz vereinbar.
Bildquellen:
Monitoring: geralt, Creative Commons CC0
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester und Sicherheitsforscher bei Kuketz IT-Security überprüfe ich IT-Systeme, Webanwendungen und mobile Apps (Android, iOS) auf Schwachstellen. Als Lehrbeauftragter für IT-Sicherheit an der DHBW Karlsruhe sensibilisiere ich Studierende für Sicherheit und Datenschutz. Diese Themen vermittle ich auch in Workshops, Schulungen sowie auf Tagungen und Messen für Unternehmen und Fachpublikum. Zudem schreibe ich für die Computerzeitschrift c’t und bin in Medien wie heise online, Spiegel Online und der Süddeutschen Zeitung vertreten. Der Kuketz-Blog und meine Expertise finden regelmäßig Beachtung in der Fachpresse und darüber hinaus.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du immer über neue Beiträge informiert bleiben möchtest, gibt es verschiedene Möglichkeiten, dem Blog zu folgen:
HowTo: Internet-Zensur umgehen und anonym bleiben
Anonymität: Die haltlosen Werbeversprechen der VPN-Anbieter
Internet-Zensur umgehen – Internet-Zensur Teil3
Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern spiegeln den Informationsstand zum Zeitpunkt des Redaktionsschlusses wider, ähnlich wie Zeitungsartikel.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.