Die derzeit gültige Regelung verlangt, dass alle Telefonate und E-Mails sechs Monate lang gespeichert werden. ZDNet zeigt Wege auf, wie man sich der Schnüffelei durch den Staat ohne konkreten Verdacht wirksam entzieht.
Vorratsdatenspeicherung, der große Lauschangriff, der sogenannte Bundestrojaner und das Internetzensurgesetz sind für gesetzestreue Normalbürger, die nichts zu verbergen haben, alles andere als harmlos. Regelmäßige Kontakte mit Terroristen sind nicht notwendig, damit sich Behörden Informationen aus der Vorratsdatenspeicherung verschaffen.
Um plötzlich zum Ermittlungsziel zu werden, kann es ausreichen, gelegentlich mit jemandem zu telefonieren, der seine Auslandseinkünfte in der Steuererklärung nicht korrekt angegeben hat. Selbst ein versehentlicher Klick auf eine überwachte Seite mit rechtsextremen Inhalten kann genügen.
Grund genug, sich Gedanken darüber zu machen, wie man sich der Vorratsdatenspeicherung zumindest teilweise entziehen kann. Keine Chancen hat man dabei für einen primären Dienst wie dem Internetzugang. Ein Provider ist immer verpflichtet, zu speichern, wann sich ein Kunde ins Internet einwählt und welche IP-Adresse er dabei bekommt.
Das gilt auch für ein Telefongespräch, das man über seinen Telefonschluss führt: Alle Verbindungsdaten werden gespeichert - beim Handy sogar der aktuelle Standort.
Anders sieht es aus bei Diensten, die über die aktuelle Internetverbindung abgewickelt werden, etwa E-Mail, Instant Messaging (IM) oder VoIP-Telefonate. Hier gibt es durchaus Möglichkeiten, sich einer verdachtsunabhängigen Speicherung zu entziehen. Dies schützt allerdings nicht automatisch vor einem gezielten Abhören des gesamten Internetverkehrs.
Klinkt sich einer Ermittlungsbehörde beim Provider in den Internetanschluss ein, können alle E-Mails mitgelesen und alle VoIP-Gespräche abgehört werden, sofern keine sichere End-To-End-Verschlüsselung genutzt wird. Verhindert man jedoch die verdachtsunabhängige Speicherung von Verkehrsdaten, die jeden Bürger aufgrund der Vorratsdatenspeicherung betreffen, ist wenigstens eine nachträgliche Auswertung nicht möglich.
Bei der Nutzung aller Internetdienste ist dem Dienstanbieter immer die IP-Adresse des Nutzers bekannt. Hinzu kommen oft weitere Identifikationsmerkmale wie E-Mail-Adresse, VoIP-Telefonnummer oder IM-Adresse, die einem Nutzer zugeordnet werden können. Technisch gesehen kann der Dienstanbieter entscheiden, ob er diese Verkehrsdaten speichert oder nicht. In der EU sind die Dienstanbieter dazu allerdings gesetzlich verpflichtet.
Wer sich dieser Speicherung entziehen möchte, hat zwei Möglichkeiten: Entweder man betreibt die Dienste selbst oder man nutzt als Dienstanbieter einen Provider im Ausland, der nicht mit Behörden aus EU-Ländern kooperiert. Bei der zweiten Möglichkeit besteht immer ein Risiko, dass der Anbieter letztendlich doch Daten herausgibt. Sicherer ist es, die Dienste selbst zu betreiben und erst gar keine Logfiles anzulegen. Das ist aber häufig mit Aufwand und Kosten verbunden.
Eine Kommunikation ist nur dann vor der Vorratsdatenspeicherung sicher, wenn sich beide Kommunikationspartner, etwa Absender und Empfänger einer E-Mail oder Anrufer und Angerufener eines Telefongesprächs, der Vorratsdatenspeicherung entziehen. Trotzdem kann man mit einer einseitigen Lösung dafür sorgen, dass nicht alle E-Mails oder Telefongespräche in die Hände von Ermittlern fallen.Wer einen eigenen E-Mail-Server betreiben möchte, muss sich im Klaren darüber sein, dass dies von einem privaten Internetanschluss kaum möglich ist. Der Grund dafür ist das sogenannte DNS-Blacklisting[1]. Fast alle öffentlichen Provider und viele Firmen nutzen dafür Spamhaus.org[2].
Dort sind in der Standard-Blackliste auch die dynamischen IP-Adressen der meisten DSL-Anbieter enthalten. Dies liegt an der hohen Anzahl von mit Botnetzen verseuchten PCs, die Spam versenden. E-Mails, die direkt vom DSL-Anschluss eines Nutzers und nicht über den offiziellen SMTP-Server eines E-Mail-Anbieters kommen, werden fast überall abgewiesen.
Abhilfe dagegen schafft meist eine feste IP-Adresse, sofern der Internetprovider diese Option anbietet. Diese Adressen sind in der Regel nicht bei Spamhaus.org gelistet. Eine andere Option ist die Anmietung eines virtuellen Servers bei einem Hoster, was mit Kosten verbunden ist.
Für einen Server mit 10 GByte Speicherplatz muss man mit etwa zehn Euro pro Monat rechnen. So einen Server kann man jedoch noch für andere Zwecke einsetzen, etwa den Betrieb eines eigenen unzensierten DNS-Servers.
Wer vor diesen Hürden nicht zurückschreckt, kann sich mit Communigate[3] eine sehr professionelle Lösung schaffen. Das Produkt ist für den privaten Gebrauch mit bis zu fünf Mailboxen kostenlos.
Neben den Standards POP3, IMAP, SMTP und Webmail bietet Communigate einen nativen MAPI-Treiber für Outlook, ActiveSync um mobile Geräte anzubinden, und einen Flash-Client als Alternative zum klassischen Webmail, der wesentlich mehr Funktionen bietet. Obwohl Communigate sehr mächtig ist, ist es einfach zu installieren und konfigurieren[4]. Der Server läuft unter anderem mit Windows, Mac OS, Linux und FreeBSD.Beim Betrieb eines eigenen Mailservers sollte man darauf achten, dass für den SMTP-Transport das STARTTLS-Protokoll[5] verwendet wird. Dann werden E-Mails zwischen zwei selbst betriebenen Servern verschlüsselt. Allerdings besteht trotzdem die Gefahr von Man-in-the-middle-Attacken[6].
Da die Mailer automatisiert arbeiten, kann man als User das X.509-Zertifikat[7] nicht als gültig bestätigen. Darüber hinaus zeigt ein ZDNet-Praxistest[8], dass sich viele öffentliche Mailanbieter weigern, E-Mails verschlüsselt zu senden oder zu akzeptieren.
Für den Betrieb eines Mailservers kann man sich auch mit mehreren Leuten zusammentun und die Kosten für einen virtuellen Server teilen. Zu beachten ist allerdings, dass jeder mit Administrator- oder Root-Rechten in der Lage ist, alle E-Mails zu lesen.
Wem ein eigener Mailserver zu aufwändig ist, sollte sich vor Freemailern wie Google Mail oder Hotmail hüten. Google und Microsoft in den USA unterliegen zwar nicht der Vorratsdatenspeicherung, jedoch betreiben beide Firmen deutsche Niederlassungen. Für deutsche Kunden müssen sie daher dieselben Bestimmungen befolgen wie jeder deutsche Mailanbieter auch.
Zudem kann man davon ausgehen, dass sie weitaus mehr Daten speichern als die Vorratsdatenspeicherung verlangt. In den USA gibt es wenig Datenschutzgesetze, die die "Sammelleidenschaft" der Provider begrenzt.
Einen gewissen Schutz bieten SMTP-Relay-Anbieter. Sie bieten an, ausgehende Mails über ihren SMTP-Server zu routen. Dazu ist im Mail-Client lediglich ein anderer SMTP-Server einzutragen. Auch dieser Dienst ist nicht kostenlos. DynDNS.org[9] verlangt dafür 19 Dollar pro Jahr. Wer etwa einen Account bei Web.de hat, kann seine ausgehenden Mails über das SMTP-Relay von DynDNS.org verschicken.
Verlangt eine Ermittlungsbehörde bei Web.de Einsicht in die gespeicherten Daten, sind nur die eingehenden, aber nicht die ausgehenden Mails erfasst. Man darf allerdings die Webmail-Funktion nicht für ausgehende Mails verwenden. In diesem Fall gehen die Mails trotzdem über den eigenen Provider raus.
Bild 1: Im Mailheader ist meist die IP-Adresse des Absenders sichtbar.
Um einer Speicherung von Verbindungen mit VoIP zu entgehen, müssen beide Teilnehmer Internettelefonie verwenden. Ferner darf das Gespräch nicht über einen VoIP-Provider vermittelt worden sein, der mit EU-Behörden kooperiert. Wenn man ein VoIP-Gespräch in das öffentliche Telefonnetz führt, muss man zwingend einen Provider dazwischen schalten. Sitzt der Provider in der EU, muss er die nationale Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung befolgen.
Allerdings ist es ungefährlicher als bei E-Mail, sich einen beliebigen VoIP-Provider außerhalb der EU zu suchen. Die meisten VoIP-Provider vermitteln Telefonate ins öffentliche Telefonnetz über Zwischenhändler, die wiederum große Carrier einsetzen, um die internationalen Verbindungen zu vermitteln. Aus diesem Grund ist es nicht so einfach für einen Ermittler, anhand der Telefonnummer überhaupt den VoIP-Provider rauszufinden.
Anhand der E-Mail-Adresse <username>@hotmail.com kann eine Behörde sofort erkennen, dass sie sich an Microsoft wenden muss, um gespeicherte Daten zu erhalten. Selbst, wenn man sich unter falschem Namen angemeldet hat, kann Microsoft die IP-Adressen herausfinden, von der das E-Mail-Konto benutzt wurde. Ist eine interessierte Behörde in Besitz einer E-Mail, ist nicht einmal das notwendig. Die meisten Freemailer übermitteln die IP-Adresse des Mailclients im Mailheader, auch wenn der Client ein Browser ist, siehe Bild 1[10].
Bei VoIP gilt jedoch: Hält man seine SIP-Adresse wie 12345@FonoSIP.com bei einem SIP-Provider in den USA geheim, ist man schon ganz gut geschützt. Darüber hinaus kann es nicht schaden, auch die Telefonnummer nicht öffentlich bekannt zu machen.
Bild 2: VoIP-Telefone einer Fritzbox sind auch direkt erreichbar.
Um mit einem anderen VoIP-Teilnehmer zu telefonieren, der dasselbe Protokoll, zum Beispiel SIP, benutzt, ist es nicht nötig, einen VoIP-Anbieter zur Vermittlung eines Gesprächs heranzuziehen. Jedenfalls gilt das, wenn man mit einer öffentlichen IP-Adresse ins Internet verbunden ist.
Das ist der Fall, wenn man beispielsweise einen VoIP-fähigen NAT-Router wie eine Fritzbox nutzt. Dann wird das Gespräch erst gar nicht bei einem Provider registriert.
Eine Fritzbox, die mit öffentlicher IP-Adresse bei einem VoIP-Provider angemeldet ist, kann ein Anrufer über die SIP-Adresse <username>@<IP-Adresse> erreichen. Bild 2[11] zeigt den Benutzernamen 4711. Nutzt man jetzt noch die DynDNS-Funktion der Fritzbox, zum Beispiel mit der Domain example.dyndns.org, so kann ein Anrufer immer die SIP-Adresse 4711@example.dyndns.org verwenden.
Bild 3: Über die Kurzwahlfunktion kann man einer SIP-Adresse eine Telefonnummer zuordnen.
Offensichtliches Problem dabei ist, dass man die SIP-Adresse nicht ohne Weiteres in ein normales Telefon eingeben kann. Mit den meisten Softphones für PCs oder PDAs ist das hingegen möglich. Das Problem kann ein Anrufer lösen, indem er die Telefonbuchfunktion seines Routers nutzt. Bei einer Fritzbox trägt man dazu einfach die SIP-Adresse anstelle einer Telefonnummer ein.
Bild 3[12] zeigt, dass die Kurzwahl **701 und die Vanity-Nummer[13] **8CH eine SIP-Adresse anstatt einer Telefonnummer anwählt. Dabei wird kein VoIP-Vermittler dazwischen geschaltet. So kann man vorratsdatenspeicherfreie VoIP-Telefonie von einem normalen Telefon aus nutzen, das an einer Fritzbox hängt.Grundsätzlich ist es möglich, sich der Vorratsdatenspeicherung zu entziehen. Praktisch ist das jedoch meist mit einem nicht unerheblichen Aufwand verbunden. Häufig entstehen dafür auch Kosten. Ferner ist es nötig, dass beide Kommunikationspartner Maßnahmen gegen die Speicherung getroffen haben.
Nutzt man einen eigenen Mailserver, werden E-Mails immer dann erfasst, wenn Absender- oder Empfängeradresse von einem Provider betrieben werden, der Daten speichert.
Das gleiche gilt für Telefonie. Ruft man von seinem VoIP-Telefon eine Nummer aus dem öffentlichen Telefonnetz an, werden die Verbindungsdaten gespeichert. Entziehen kann man sich dem nur, wenn beide Teilnehmer eine VoIP-Adresse nutzen, die man aus dem Internet erreichen kann.
Generell muss auch vor kommerziellen Telefonieanbietern wie Skype gewarnt werden. Skype speichert alle Verbindungsdaten und kooperiert mit den Behörden der EU-Länder.
Wenn man sich der Vorratsdatenspeicherung entzieht, bedeutet das nicht, dass man sicher vor gezielten Abhörmaßnahmen ist. Dagegen hilft nur eine End-to-End-Verschlüsselung. Bei E-Mail kann man dazu etwa PGP/GPG[14] oder S/MIME[15] verwenden. Voraussetzung ist jedoch, dass beide Mailprogramme das jeweilige System unterstützen. Eine einfache, komfortabel nutzbare Möglichkeit zur sicheren E-Mail-Verschlüsselung mit jedem Empfänger gibt es jedoch nicht, wie ein ZDNet-Artikel[16] zeigt. Lösungen in einer geschlossenen Benutzergruppe können aber einfach realisiert werden.
Bei der Verschlüsselung von VoIP-Gesprächen bietet sich das SRTP-Protokoll an. Es wird beispielsweise von der Fritzbox 7270 unterstützt. Ältere Modelle beherrschen das Protokoll nicht. Keine Sicherheit bietet hingegen eine SRTP-Verschlüsselung zwischen einer Fritzbox und einem VoIP-Provider, denn beim Provider selbst wird das Gespräch wieder entschlüsselt und dieser muss einer Abhöranforderung durch die Behörden nachkommen.
Für die Voice-Kommunikation sollte man auch darüber nachdenken, Alternativen zu suchen, etwa Telefonie über XMPP/Jabber[17] oder Multichannel-Voice-Systeme wie Teamspeak[18] oder Mumble[19]. Teamspeak hat aber keine Verschlüsselungsfunktion. Eine einfache Verbindung zur eigenen Haustelefonanlage gibt es dabei jedoch nicht. Hier muss meist ein Client am Rechner genutzt werden.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/