Mitternachtshacking

Die Bezeichnung “Perfect Citizen” der NSA für ein Bürgerüberwachungs- und -bespitzelungsprogramm (die NSA bezeichnet es als “Forschungsprogramm”) ist behördlicher Neusprech allererster Güte. Der “Perfekte Bürger” ist aus Sicht der Behörden schließlich der obrigkeitshörige, verdummte, kritiklos alles mit sich machenlassende Bürger. George Orwell wäre stolz auf diese Verwendung.

Anscheinend bastelt die NSA zusammen mit Raytheon an einem Programm, das potentielle Cyberkriminelle erkennen kann. Der Nachteil: offensichtlich muß man dafür viele Bürger und deren gesamte Kommunikation überwachen, um die Bösen zu finden. Oder wie Raytheon das in einer internen E-Mail bezeichnet: “Perfect Citizen ist Big Brother”. Basic Thinking hat einen ganz netten Artikel zum Thema.

Ich versuche mal ein paar Links zum Thema zusammenzustellen:

• WSJ: U.S. Program to Detect Cyber Attacks on Infrastructure
• Bruce Schneier: In what creepy backroom do the come up with these names?
• CNet: NSA offers explanation of Perfect Citizen
• Dissident Voice: Are you a “Perfect Citizen”?
• The Register: NSA setting up secret “Perfect Citizen” spy system
• Network World: NSA “Perfect Citizen” is only one piece of the cyber security puzzle
• ReadWriteWeb: Do private enterprises need the NSA to protect them from cyber attacks?

Ich kann die Bedenken der Leute gut verstehen. Die NSA möchte zur Erkennung und Abwendung von Cyberangriffen Sensoren in den privaten Netzwerken der Unternehmen installieren. Die befinden sich normalerweise hinter Firewalls und sind daher für die NSA nicht direkt zugänglich. Im Gegensatz zum restlichen Internet, das bei den Providern gut überwacht werden kann. Im ersten Schritt ist die Teilnahme freiwillig und vermutlich werden tatsächlich nur Angriffe wie mit einem IDS analysiert. Aber was ist im zweiten Schritt? Ich kann mit gut vorstellen, dass für alle Anbieter von “kritischer Infrastruktur” die Teilnahme irgendwann verpflichtend wird und dass spätestens nach dem nächsten Terrorangriff nicht mehr nur Cyberangriffe sondern alle möglichen Daten abgehört und ausgewertet werden.

Und irgendwie erinnert mich das ganze an die Überwachung der Behördenkommunikation durch das BSI.

Der Datenschutz im Internet wird uns in den nächsten Jahren noch sehr viel Kopfzerbrechen bereiten. Traurigerweise scheint das in der Masse der Nutzer noch niemand so richtig verstanden zu haben. Das mag damit zusammenhängen, daß die Warnzeichen schleichend kommen und viel erst aufwachen, wenn der persönliche größe Knall kommt. Dieser Beitrag hier wird daher ebenfalls keine Wirkung haben, aber wenigstens erlaubt er es mir, in 5 Jahren oder vielleicht in 10 Jahren oder auch schon in 2 Jahren dann behaupten zu können: “Ich hab’s Euch ja gesagt!”. Ein paar willkürliche aber relativ bekannte Beispiele aus den großen Web 2.0 Social Communities:

StudiVZ

Eigentlich braucht man über StudiVZ nicht mehr viel schreiben. Don Alphonso hat schon alles berichtet, über die Sicherheitsprobleme, über das beliebte Stalking (bei StudiVZ verharmlosend “gruscheln” genannt), über die lustigen (für außenstehende) Hacks, für die interessanten abgezogenen Daten, über den Völkischen Beobachter, eigentlich über alles. Primär scheint es sich hier um ein Problem für StudiVZ bzw. den Eigentümer Holtzbrinck zu handeln. Tatsächlich ist es ein Problem der Nutzer.

Als Student sieht man vieles im Leben vielleicht etwas lockerer. Da schreibt man dann gerne mal auf seiner Profilseite (ein wenig übertrieben kommt cool) was man so alles tut oder nicht und nicht alles davon dürfte so 100% legal sein. Folglich gibt es bei StudiVZ die Marihuanaraucher, die Schwulen und Lesben, die Gang Bang Ficker und was sich sonst noch alles rumtreibt. Das ist eine willkürliche Aufzählung ohne jegliche Wertung und ich maße mir nicht an, das zu werten. Aber vielleicht der zukünftige Arbeitnehmer! Bei vielen Unternehmen ist es inzwischen üblich, die Bewerber kurz im Internet zu checken. Die FTD bezeichnet das zutreffend als Web 2.0 Karrierekiller.

Das Problem ist: Diese Daten verschwinden nicht mehr aus dem Netz.

Facebook

Facebook ist das Original, die amerikanische Studentencommunity und Facebook kämpft mit ähnlichen Problemen. Das fing schon mit der Stalkingfunktion an und betrifft das Abziehen von Daten (PDF) natürlich ganz genauso. Lustig ist offensichtlich die Suchfunktion, die Einstellungen wer welche Daten sehen darf einfach ignoriert. Man kann wohl irgendwo anders Einstellungen für die Suchfunktion konfigurieren aber das wissen die meisten Benutzer nicht. The Register warnt eindringlich: Digital data can bite you in the ass.

Das Problem bleibt: Diese Daten verschwinden nicht mehr aus dem Netz!

Google

Auch zu Google muß man nicht mehr viel schreiben. Google ist bekanntlich die große Datenkrake, wurde 2003 auch schon mal für den Big Brother Award nominiert und die letzte Studie von Privacy International hat das drastisch aufgezeigt. Google Watch führt noch ein paar weitere Punkte zusammen. Und mit Google Street Watch hat sich das Thema gerade erst potentiert. Inzwischen werden sogar die drögen Amis wach.

Europäischer und amerikanischer Datenschutz

Europäischer und amerikanerisch Datenschutz unterscheiden sich hier grundlegend. Daten, die einer europäischen Firma zur Verarbeitung gegeben werden, gehören weiterhin mir. Ich habe das Recht, zu Fragen was über mich gespeichert ist und kann fehlerhafte Daten korrigieren lassen. Daten die eine amerikanische Firma über mich gespeichert hat, gehören der amerikanischen Firma. Wer sich mal die Pricacy Policy einer amerikanischen Firma durchgelesen hat (z.B. Paypal) versteht, was ich meine. DoubleClick hat bereits einmal versucht, Daten aus dem Surfverhalten der Nutzer zu personalisieren. (DoubleClick wurde jetzt übrigens für 3,1 Milliarden USD von Google gekauft. Da soll noch jemand behaupten, Google sein nicht evil.

Vorratsdatenspeicherung

Komplett den Bach runter geht der Datenschutz spätestens, wenn die von den Herren Schäuble (”ich habe von einem Bundestrojaner nichts zu befürchten, ich habe ja keine schwarzen CDU-Geldkoffer von Herrn Schreiber angenommen”) und Beckstein (”ich dachte der Virus mit dem BKA-Titel sei eine dienstliche Mail an mich”) geforderte Vorratsdatenspeicherung kommt. Das ist jedem vernünftig denkenden Menschen aber eigentlich auch klar.

Dafür gibt es jetzt aber eine tolle Initiative der EU: Privacy and Identity Management in Europe, kurz PRIME. Leitmotiv von PRIME ist es laut Heise angeblich:

“die personenbezogenen Informationen beim Identitätsmanagement unter der Kontrolle des Nutzers zu belassen. Ziel ist es, auch bei der Herausgabe persönlicher Daten für die Inanspruchnahme von Online-Services den jeweils maximal möglichen Datenschutz zu gewährleisten.”

Der zweite Absatz erklärt jedoch, wo es wirklich hingeht:

“Mit Systemen zum ID-Management soll das Problem der sicheren Identifikation von Surfern im Internet gelöst werden. Der Druck auf die Entwicklung eines entsprechenden “sicheren Kommunikationsraums” im Netz geht […] von der Politik aus.”

Oder, wenn wir Neusprech mal weglassen: Anonym im Internet ist nicht mehr.

Da fühlt man sich in der Europäischen Union mal wieder richtig gut aufgehoben. Oder?