Wie reagiert die deutsche Internetwirtschaft auf PRISM?
Ein Gastbeitrag von Oliver Dehning, antispameurope GmbH
Vor einem Jahr trat Edward Snowden erstmals an die Öffentlichkeit und machte damit offenbar, was vorher eher theoretisch schien: Die NSA unternimmt alles, was sie kann, um jegliche Kommunikation im Internet zu lesen, zu scannen oder doch mindestens zu registrieren. Allgemeine Befürchtungen und Warnungen hatte es schon vorher gegeben, sie wurden aber schon durch die ersten Enthüllungen übertroffen. Wie weit die Anstrengungen der NSA tatsächlich gehen, dass z.B. sogar die Entwicklung von Verschlüsselungstechniken und Verschlüsselungsstandards im Sinne der NSA beeinflusst wird, wurde erst nach und nach deutlich.
Die Zeiten blauäugiger, nichtsahnender Nutzung amerikanischer Internet-Services sind jedenfalls vorbei. Jetzt kann niemand mehr behaupten, er hätte nichts geahnt und sich auf die Zusagen der (amerikanischen) Provider verlassen . Dabei ist den amerikanischen Providern kaum ein Vorwurf zu machen: Sie sind letztlich auch nur dem in ihrem Land geltenden Recht verpflichtet.
Deutsche Provider beeilten sich mitzuteilen, sie seien nicht betroffen, da sie Daten nach deutschem Recht verarbeiten und speichern, was die Gewährung von Zugriffsrechten an die NSA ausschließe. Manche Provider wiesen darauf hin, dass sie Daten stets verschlüsselt durch das öffentliche Internet versenden, andere Provider kündigten an, das zukünftig zu tun. Der Ruf nach einem „deutschen Internet“ wurde laut.
Dabei müssen wir uns auch in Deutschland fragen, ob die ergriffenen Maßnahmen zum Schutz der Daten unserer Benutzer ausreichend sind. Immerhin greifen auch deutsche Behörden und Geheimdienste auf Daten zu, wenngleich Umfang und Art dieser Zugriffe ganz sicher auch nicht annähernd die von der NSA bekanntgewordenen Dimensionen erreichen.
Ein wichtiger Aspekt aber ist die starke globale Vernetzung der verschiedenen Layer des Internet. Es ist davon auszugehen, dass bei einem sehr großen Teil von Datenübertragungen über das Internet in irgendeiner Weise auf Dienste zurückgegriffen wird, die aus den USA heraus zumindest mittelbar kontrolliert sind. Wenn man sich nämlich die Vertrauenskette im Internet-Geschäft genau ansieht, dann wird schnell deutlich, dass die Nutzung von Internet-Services immer irgendwelche Systeme, Software oder Services aus US-amerikanischen Quellen einschließt. „Das Internet ist im wesentlichen amerikanisch“, sagt Ex-CIA-Direktor Michael Hayden , und er hat Recht. Ein „deutsches Internet“ jedenfalls scheint zumindest kurzfristig kaum realisierbar. Überhaupt muss man sich fragen, ob so etwas nicht in Wahrheit eine absurde Karikatur des Internets wäre.
Vielleicht haben wir, die deutsche Internet-Industrie, uns deshalb mit Reaktionen etwas zurückgehalten. Außer ein paar halbherzigen technischen Änderungen (Aktivierung von TLS, Routing innerhalb Deutschlands ) gab es wenig Konkretes. Dabei muss eigentlich allen Beteiligten klar sein, dass man nach den Enthüllungen von Edward Snowden nicht einfach so weitermachen kann. Es ist die Verpflichtung eines Providers, die ihm vom Benutzer anvertrauten Daten im Rahmen der Möglichkeiten bestmöglich zu schützen. „Bestmöglich“ darf dabei nicht heißen, dass man sich der scheinbaren Übermacht der NSA tatenlos ergibt. Vielmehr ist die Internet-Industrie insgesamt aufgerufen Maßnahmen zu ergreifen, die ihre Nutzer vor Ausforschung durch Geheimdienste gleich welcher Nationalität schützen. Das schließt amerikanische Anbieter übrigens ausdrücklich mit ein.
Aber erst wenn ein technisches Gleichgewicht dergestalt entsteht, dass nicht ein einzelner Staat im Internet schalten und walten kann, wie immer es ihm beliebt, kann ein wirksamer Schutz von Benutzerdaten erreicht werden. Aus deutscher Sicht nötig ist dazu eine Aufrüstung von technischen Fähigkeiten und von Infrastruktur in Deutschland, mindestens in Europa. Erst dadurch entsteht wirkliche Unabhängigkeit und damit eine sinnvolle Basis für wirksame Gespräche mit den USA darüber, welche Zugriffe von Geheimdiensten und Behörden z.B. zur Abwehr von Gefahren oder zur Aufklärung und Verfolgung von Straftaten moralisch oder rechtlich zulässig und gesellschaftlich erwünscht und als notwendig erachtet werden. Ohne dieses technische Gleichgewicht werden die Vorstellungen der deutschen Politik in Washington auch weiterhin mit einem Achselzucken abgetan, allenfalls durch einige höfliche Floskeln verbrämt.
Als deutsche Internetwirtschaft müssen wir uns fragen, was wir zur Herstellung dieses technischen Gleichgewichts beitragen können. Der deutsche Internetknoten DE-CIX ist ein gutes Beispiel für solche Infrastrukturen, ein europäisches Routing wäre ein weiteres. Das allein reicht aber bei weitem nicht. Man sehe sich z.B. einmal an, wer letzten Endes darüber entscheidet, ob ein zur Verschlüsselung einer Website verwendetes Zertifikat vertrauenswürdig ist. In der Praxis wird das in aller Regel der Hersteller des Webbrowsers sein, denn er bestimmt, welche Wurzelzertifikate im Zertifikatsspeicher des Browsers vorinstalliert sind . Deshalb müssen technische Fähigkeiten und Infrastrukturen breit ausgebaut werden und auf allen Ebenen Alternativen zu den die IT-Welt dominierenden amerikanischen Produkten geschaffen werden. Die deutsche Regierung ist dazu aufgefordert, Bemühungen in diese Richtung mit den ihr zur Verfügung stehenden Mitteln zu unterstützen.
Um Benjamin Franklin zu zitieren: Wer wesentliche Freiheit aufgibt um eine geringfügige bloß jeweilige Sicherheit zu bewirken, verdient weder Freiheit, noch Sicherheit.
Diskutieren Sie mit uns zu diesem Thema am 2.7 in Berlin bei unserer Veranstaltung „NSA und jetzt?„
