Aus CCCZH

Chaotica - Blog

Disclaimer

Die in diesem Blog geäusserten Meinungen und Ansichten sind die persönliche Sichtweise der Autor_innen und geben nicht notwendigerweise die Ansicht des CCCZH wieder!

Swisscom sperrt automatisiert Internetzugänge

Gestern ist es dann das zweite Mal passiert - mein Inernetzugang bei der Swisscom war blockiert und jeder Webaufruf landete bei einer Swisscom-Internetseite mit dem Hinweis, der Zugang sei wegen "administrativer Probleme" zur Zeit nicht möglich und man solle sich doch mal melden.

Im Customer Support wurde mir dann mitgeteilt, dass man jetzt wiederholt (zum zweiten Mal) festgestellt habe, dass von meinem Rechner aus Spam verschickt würde und deshalb der Internetzugang erst wieder freigeschaltet werden könne, wenn ein Swisscom-Partner meinen Rechner inspiziert habe und schriftlich bestätigen würde, dass der Rechner jetzt wieder "sauber" ist...

Leider verstehen die Mitarbeiter und Abteilungsleiter des Customer Support vom Internet so wenig wie eine Kuh vom Fahrrad-fahren: auf die Frage, ob sie die angebliche Spamming-Mail vorliegen haben und woran sie erkennen können, das es sich um Spam handelt, wurde immer mit der Aussage quittiert, dass sie die EMail zwar sehen, aber nicht selbst einschätzen können, ob es sich um Spam handelt. Aber ihr Server hat das als Spam klassifiziert und deshalb wird das schon stimmem.

Meine mehrmaligen Versuche zu erklären, dass es sich (wie schon beim ersten Mal) vermutlich um einen Abuse-Fall wegen meines Mixmaster-Exits handelt, scheiterten kläglich am Unverstand der Gesprächspartner, die das technisch nicht verstehen konnten oder wollten. Im übrigen wurde mir Einsicht in weitere Einzelheiten des Falles "aus Datenschutzgründen" verweigert, wie Phillip Gauss, Leiter im Customer Support mir mitteilte. Man schaltete einfach auf stur, verwies auf die notwendige Säuberung meines Rechners durch einen Swisscom-Partner und weigerte sich, den Internetzugang wiederherzustellen.

Selbst wenn Spam von meinem Rechner aus verschickt worden wäre (was definitiv nicht der Fall ist), stellt sich mir hier die Frage der Zulässigkeit eines automatischen Sperren des Internetzugangs - des gesamten Internetzugangs und nicht nicht nur des Mailverkehrs (was ja Spamming von diesem Rechner aus verhindern würde). Selbst unter den rigerosen HADOPI-Regel in Frankreich gilt die "Three-Strike"-Regelung und ein beschuldigter Raubkopierer kann sich zumindest mal rechtfertigen. In der Schweiz scheint "Spamming" (so es denn überhaupt welches ist) schwerer und schneller geahndet zu werden als Raubkopieren. Und dabei ist Spamming noch nicht mal strafrechtlich relevant.

Wer ähnliche Erfahrungen mit der Swisscom gemacht hat (oder jemanden kennt, der das hat), dann meldet Euch doch mal beim CCCZH. So etwas sollte man der Beschisscom eigentlich nicht durchgehen lassen.

Wer nichts zu verbergen hat, hat auch nichts zu befürchten!

Whistleblower.png
Im SF1 Club wurde am 14.Februar 2012 mal wieder über das Thema „Whistleblowing in der Schweiz“ diskutiert. Allerdings hatte ich den Eindruck, dass sich die Diskussion seit der ersten Club-Sendung zu diesem Thema vor gut einem Jahr kaum weiterentwickelt hat.

Besonders die „Argumentationslinie“ von Vogt, dem Präsidenten des schweizerischen Arbeitgeberverbandes, hat es mir in dieser Sendung angetan: wie schon Thür (Eidgenössischer Datenschutzbeauftragter) und Büttiker (Politiker) in der Sendung vor einem Jahr will er es verhindert sehen, dass sich Whistleblower an die Medien wenden und Probleme so an die Öffentlichkeit bringen. Er glaubt tatsächlich, es hätte etwas mit „Transparenz“ zu tun, wenn Whistleblowing nur firmenintern zulässig ist – und im alleräussersten Extremfall auch noch durch Meldung an die Behörden, die aber bitte schön auch nichts an die Öffentlichkeit dringen lassen dürfen. Sorry, aber mit Transparenz hat das doch wenig zu tun – es bleibt zumindest bei mir der Eindruck bestehen, dass interne Meldestellen bei einem solchen Mindset vor allem die Aufgabe haben, Probleme zu vertuschen – nicht sie zu lösen oder gar in der Öffentlichkeit dazu zu stehen.

Auch wenn eine solche Einstellung bei mir auf wenig Gegenliebe trifft, so ist es doch irgendwo verständlich, woher sie kommt und vor allem warum sie tatsächlich in den meisten Unternehmen der Schweiz auch so gelebt wird: Firmen und Firmenpolitik werden von Menschen gemacht und die leben auch ihr berufliches Umfeld so, wie ihre Sozialisation es ihnen mitgegeben hat. Und die Generation 40+, die heute die Führungs- und Entscheidungsriege in Unternehmen stellt, ist eben in ihrer Sozialisation offensichtlich selten zu Werten wie Offenheit, Ehrlichkeit und Transparenz angeleitet worden. Vor etwa 10 Jahren galt es in der Schweiz tatsächlich noch als „out-en“, wenn Männer ihren Ehefrauen gesagt haben, wieviel Geld sie verdienen – soviel zur Offenheit...

Damit wird sich wohl leider auch in den Firmen (und der Gesellschaft allgemein) erst etwas ändern, wenn die gesellschaftliche Realität die Werte Offenheit, Ehrlichkeit und Transparenz in die Köpfe der Kinder und Jugendlichen bringt und fördert, die dann später dies auch im Beruf tatsächlich ausleben können.

Bis dahin dürfen wir denjenigen, die wie Vogt immer alles unter der Decke und in der Familie – äh, Firma – halten wollen, um den Schein der Problemlosigkeit zu wahren, zum Thema Whistleblowing entgegnen: „Wer nichts zu verbergen hat, hat auch nichts zu befürchten!“

Ausgeträumt...

Gameover.png
Wer bei DreamLab was träumt, ist für Aussenstehende schwer zu erkennen – aber was schläft, das weiss die Welt seit einer NDR-Reportage nun aber wenigstens: das Gewissen.

Was ich in den Blog-Beiträgen zum Staatstrojaner und zur Verwicklung des Vizepräsidenten der schweizerischen Piratenpartei in Überwachungssoftware-Einsatz nur andeuten konnte, ist jetzt durch WikiLeaks in Zusammenarbeit mit dem NDR an die Öffentlichkeit gekommen: Die schweizerische Firma DreamLab hat zusammen mit der deutsch-englischen Firma Gamma Überwachungssoftware und Trojaner an Unrechtsregime in verschiedenen Ländern geliefert.

Traurig ist daran vor allem, dass sich DreamLab nach aussen immer als „Hacker-kompatibel“ darstellt und sogar Hacker-Events wie die „0sec“ veranstaltet. Ich hoffe, dass alle Chaoten in der Schweiz den Knall jetzt gehört haben und nicht mehr verträumt den falschen Leuten vertrauen...

Update #1: Die NZZ berichtet am 9.12.2011 in einem Artikel "Dreamlab am Pranger" über diesen Fall.

Update #2: Der NZZ-Artikel aus Update #1 ist über "Google News" nicht mehr auffindbar - ein Schelm, der Böses dabei denkt... Ob jetzt wohl noch damit zu rechnen ist, dass sich Medien an die Aufklärung der Vorgänge wagen? Insgesamt gibt es sicherlich noch einigen Erklärungsbedarf in Bezug auf Dreamlab Techologies AG: Zum einen scheint es eine Ausgründung der amerikanischen Firma Dreamlab Inc., Dover/Delaware zu sein; zum anderen gibt eine Public-Private-Partnership zwischen Dreamlab und der Berner Fachhochschule names CSW Certified Secure Web GmbH.

Klar zum Kentern?

Kentern.png
Nachdem am letzten Sonntag die Nationalratswahlen stattgefunden haben, mag so manchen das doch relativ schlechte Abschneiden der Piratenpartei in der Schweiz mit nur 0.48% der Stimmen gewundert haben – gerade nach dem sensationellen Erfolg der Piraten in Berlin.

Natürlich ist die Schweiz nicht Berlin. Aber trotzdem dürften sich einige digital natives geärgert haben, dass die in ihren Augen einzigen Vertreter einer vernünftigen Netzpolitik bei den Wahlen nicht mehr Beachtung gefunden haben.

Aber ist das wirklich so schlimm mit dem Wahlergebnis? Sind die Piraten wirklich noch unsere Verbündeten im Kampf gegen den Überwachungsstaat? Ich persönlich habe da mittlerweile meine starken Zweifel...

Angefangen hat alles mit der Veröffentlichung des CCCs zum Staatstrojaner in Deutschland. Nachdem dann klar wurde, dass es auch Trojaner in der Schweiz gibt (und gab), wurde auch ein Statement der Schweizer Piratenpartei öffentlich, in der die Partei eine sofortige Untersuchung forderte. Aber irgendwie war nach meinem Eindruck die Empörung nicht so stark, wie ich sie eigentlich erwartet habe – schon deshalb erwartet habe, weil man ein paar Tage vor der Wahl doch gar keine bessere Munition vor die Füsse gelegt bekommen kann. Und dann macht man nichts daraus – peinlich!

Aber schon ein paar Tage später dämmerte mir, warum die Piratenpartei möglicherweise so zurückhaltend agiert. Am 11.Oktober – gerade mal drei Tage nach der Veröffentlichung zum Staatstrojaner durch den CCC – gibt es Kommentare zu einem NZZ-Artikel, die den Vizepräsidenten der Piratenpartei mit seiner beruflichen Tätigkeit im Bereich "Lawful Interception (LI)" konfrontieren. Die Antwort von Herrn Gloor fand ich ziemlich verwirrend und vernebelnd – auch wenn er zugibt, dass Deutsch nicht seine Muttersprache ist.

Aber auch im Forum der Piratenpartei wird diese unglückliche Verbindung zwischen dem Vize der Piratenpartei und seinem Arbeitsfeld "Lawful Interception"“ bei einer Firma, von der die Spatzen von den Dächern pfeifen, dass sie Trojaner im Behördenauftrag entwickelt, diskutiert.

Die Diskussionsbeiträge der Piraten dazu in diesem Forum haben mich aber ehrlich gesagt schockiert. Eine Aussage wie "Wenn die Nachfrage da ist, wird es sowieso von jemandem erledigt. Ist mir auf jeden Fall sympatischer, wenn das 'einer von uns' macht, als irgendwelche 'Stümper'. macht mir sogar Angst. Wenn so etwas bei den Piraten Konsens sein kann, dann ist in meinen Augen ein K.O.-Kriterium für diese Partei. Ich frage mich sogar, ob es überhaupt akzeptabel für eine Piratenpartei ist, „Lawful Interception inklusive Trojaner“ gutzuheissen und sich weiterhin „Piraten“ nennen zu dürfen. Immerhin sollten man nicht vergessen, dass auch der Trojanereinsatz in Bayern in den Augen der dortigen Behörden und des Innenministers nur ein Fall von „Lawful Interception“ war – „lawfuller“ geht gar nicht!

Ist das alles ein Zeichen, dass die Piraten in der Schweiz mittlerweile nur ganz normale Politiker-Fuzzis sind? Das aktuelle Verhalten in der LI-Angelegenheit (aussitzen und Gras über die Sache wachsen lassen) lässt zumindest vermuten, dass hier über die eigene moralische Verpflichtung als Pirat nicht mehr ernsthaft nachgedacht wird – genauso wie Pascal Gloor selbst in einer Mail von 2003 feststellt: "Syntax Error: You cannot use the --politicians and the --brain option at the same time, they are incompatible." Man könnte hier jetzt anfügen, dass das für die Option "--moral" offensichtlich auch gilt.

Insofern geht das mit den 0.48% bei der Nationalratswahl schon in Ordnung – mehr hätten diese als Piraten verkleideten Karnevalisten auch irgendwo nicht wirklich verdient...

„... but better to rip it off if you can!“

Gong-fa1977.png
Im Hintergrund dreht sich bei mir gerade ein Vinyl-Datenträger – eine Langspielplatte der Band Gong mit dem Titel "Planet Gong - Live floating anarchy 1977". Auf dem Plattencover steht am unteren Rand:
Listen! Don't pay more than / 17F £2.25 $3.50 / but better to rip it off if you can!

Schon ein wenig ungewöhnlich, dass eine Band dazu auffordert, ihre Platte am besten zu stehlen – aber bei dem anarchistischen Titel vielleicht durchaus angemessen. Heute erscheint eine solche Aufforderung natürlich anachronistisch, denn wer stiehlt schon noch Musikdatenträger – geschweige denn, kauft noch welche? In Zeiten des Internets müsste wohl eher auf dem Cover stehen: "... but better to download it from a torrent if you can!"

Für die Schweiz mit ihrer liberalen Interpretation von Privatkopie mag ein solcher Ratschlag noch angemessen sein; aber in vielen anderen Ländern ist die Ermutigung zum freien Download aus dem Netz vielleicht doch keine so gute Idee – zumindest nicht bei der momentanen Rechtsauslegung, die die Handlungen im Real- und Digitalraum völlig unterschiedlich be- und verurteilt:

  • Wenn jemand im Laden eine CD klaut, so ist das juristisch gesehen ein Diebstahl von geringwertigen Sachen; solche Fälle werden nur auf Anzeige hin von der Staatsanwaltschaft überhaupt verfolgt (Bagatelldelikt, [1]). Bei Jugendlichen werden solche Delikte (in Deutschland) meist noch nicht einmal vor Gericht gebracht, sondern nach §45 JGG eingestellt und nur mit einigen Sozialstunden und/oder einer sehr geringen Geldstrafe geahndet. Auch bei Älteren werden Verfahren üblicherweise eingestellt, wenn sie ansonsten nicht auffällig geworden sind.
  • Wer die zwölf Lieder der CD per Torrent frei downloaded, muss da mit ganz anderen Sanktionen rechnen: In den USA schickt ihm die RIAA mal schnell eine Rechnung über $100'000+; in Frankreich (und vielleicht auch bald in Deutschland) wird ihm das Internet abstellt.

Diese Ungleichbehandlung ist vermutlich auch der Tatsache geschuldet, dass die verantwortlichen Politiker und Juristen oft willfährige Büttel der Content-Mafia sind – oder schlicht und ergreifend vom digitalen Kulturaustausch nichts verstehen. Auf Dauer ist so etwas natürlich untragbar, aber bis dahin gilt wohl weiterhin: "[you] better rip it off if you can!"

[1] An dieser Stelle noch eine Randbemerkung: Der Diebstahl geringwertiger Sachen wird aber in der realen Welt vermehrt von Arbeitgebern missbraucht, um alte oder unliebsame Arbeitnehmer auf die Strasse zu setzen; Handys am Stromnetz der Firma aufzuladen oder drei Maultaschen aus den Küchenresten mitzunehmen, hat schon zu gerichtlich bestätigten Kündigungen geführt.

Trojanische Pferde

Bundestrojaner.jpg
Am letzten Wochenende ging der Chaos Computer Club mit einer Pressemitteilung an die Öffentlichkeit, in der der Club die Analyse und die Binaries eines in Deutschland eingesetzten Staatstrojaners zur Quellen-TKÜ vorstellte.

Es war immer klar gewesen, dass es letztendlich nur eine Frage der Zeit ist, bis einer der vielen staatlichen Trojaner beim CCC landet und dort ausgiebig und kompetent analysiert wird – aber das es dann doch so lange gedauert hat, ist schon fast erstaunlich. Auch dass der Trojaner wohl aus Bayern kommt – oder zumindest dort primär eingesetzt wurde – passt gut in die politische Landkarte Deutschlands und wundert ausser den bayrischen Politikern, die jede unkorrekte Verwendung der Schnüffelsoftware bestreiten, eigentlich niemanden wirklich. Aber gibt es hier für uns in der Schweiz Anlass zur Häme? Sind Bundestrojaner ein deutsches Problem und hier in der Schweiz so undenkbar?

Tatsächlich ist es so, dass die zur Zeit aktuelle Strafprozessordnung im Kapitel 8, Geheime Überwachungsmassnahmen den Einsatz von Trojaner noch nicht explizit erlaubt – was sich mit der anstehenden Totalrevision der BÜPF (Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs) und der VÜPF (Verordnung über die Überwachung des Post- und Fernmeldeverkehrs) im nächsten Jahr sicherlich ändern wird. Aber bedeutet das tatsächlich, dass Trojaner von staatlichen Behörden in der Schweiz bisher nicht eingesetzt wurden, sondern dass deren Einsatz erst in Zukunft geplant ist, wie die WOZ im Artikel „Der Staat in deinem Computer“ behauptet?

Komisch – haben die Menschen tatsächlich ein so kurzes Gedächtnis? Schon seit 2006 gab es Berichte über einen Staatstrojaner in der Schweiz, der vornehmlich Skype- und andere VoIP-Gespräche abhören sollte (also auch Quellen-TKÜ wie jetzt in Deutschland) und dann von einem frustrierten Entwickler der Firma ERA IT im Jahr 2008 als Open-Source veröffentlicht wurde – und so als Trojaner für die Behörden nutzlos wurde.

Wer kann aber ernsthaft glauben, dass dies der einzige Fall war, in dem eine Firma mit der Entwicklung von eidgenössischer Malware beauftragt war? Und wer glaubt ernsthaft, dass Schnüffelsoftware aus der Schweiz nicht auch eingesetzt wird? Wenn dieser Einsatz vornehmlich nicht auf Rechnern von Zielpersonen in der Schweiz selbst geschieht, macht die Sache doch auch nicht besser...

Apropos Ausland: Interessant ist in diesem Zusammenhang auch die Tatsache, dass die Rechner, auf denen der Trojaner die gesammelten Informationen ablegt, in den USA steht: irgendwie klingt das nach einem mächtig schlechtem Gewissen der Behörden, dass man für die Bespitzelung auf Rechtsräume ausserhalb der eigenen Jurisdiktion zurückgreifen muss. Aber das machen einige schweizer Trojaner ja auch nicht anders: vielleicht verstehen einige Leute jetzt besser, warum ich seit Jahr und Tag dafür plädiere, ausgehenden Netzwerkverkehr zu Adressen von Dropbox auf der eigenen Firewall komplett wegzufiltern...

Update 12.10.2011: Der Anwalt von Digitask (der deustchen Firma, die den Staatstrojaner entwickelt hat) gibt in einem Interview zu, dass die Software auch an schweizerische Behörden verkauft wurde...

Update 13.10.2011: Das EJPD hat jetzt gegenüber der Tagesschau zugegeben, dass sie Trojaner einsetzen. Mehr dazu hier - und alles im vollen Bewusstsein, dass es dafür keine Rechtsgrundlage gibt!


Dicke Leitungen

Wired-4.12.png
In der wired 4.12 vom Dezember 1996 hatte ich einen langen, aber unglaublich faszinierenden Artikel von Neal Stephenson gelesen; ich war so begeistert, dass diese wired-Ausgabe die einzige ist, die ich bis heute aufgehoben habe. Unter dem Titel „The Hacker Tourist Travels the World to Bring Back the Epic Story of Wiring the Planet“ beschreibt er darin die Geschichte und Technik der Unterseeverkabelung, deren Leitungen heute die wichtigsten Backbones des Internets bilden.

Vor kurzem bin ich dann auch über die Webseite „Greg's Cable Map“ gestolpert, in der diese (und natürlich neuere) Unterseekabel auf einer Weltkarte eingezeichnet und klickbar sind: Alle Infos zu diesen Kabeln (Bandbreite, seit wann in Betrieb und Links zum Beschrieb u.v.m.) sind direkt abrufbar – vor allem auch die Anlandepunkte der Kabel an den Küsten! Ich kann jedem nur empfehlen, mal auf dieser Seite herum zu stöbern – aber Vorsicht: Suchtgefahr!

Und beim herum stöbern bin ich auf ein paar sehr interessante „dicke Leitungen“ gestossen, auf die ich mir keinen rechten Reim machen kann, zum Beispiel das Svalbard Undersea Cable System. Das verbindet in zwei Strängen das norwegische Festland mit Spitzbergen und hat eine maximale Kapazität von 5 Tb/s, von der angeblich aber nur 1/8 (also rund 625 Gb/s) in Betrieb sein soll. Da auf Spitzbergen nur rund 2'500 Einwohner wohnen, wären das rechnerisch pro Einwohner bis zu 2 Gb/s Bandbreite: Spitzbergen ist zwar ziemlich kalt, aber das sollte für echte Netzjunkies kein Hindernis sein, dort wohnen zu wollen. Aber das Kabel dürfte kaum dafür da sein, Nerds anzubinden...

Laut Wikipedia dient das Kabel zwei Zwecken: Erstens und primär der Raumfahrt und zweitens auch ein wenig dem amerikanischen Militär. Das mit der Raumfahrt macht Sinn, weil Spitzbergen ziemlich weit nördlich liegt und deshalb Satelliten im polaren Orbit fast alle 90 Minuten im Sichtfeld von Bodenstationen sind und dann ihre Daten übertragen könnten. Eine kleine Abschätzung sollte helfen, den Bandbreitenbedarf einer solchen Nutzung zu bestimmen:

[1] Anzahl der Satelliten im polaren Orbit: ~550
[2] Gesamte Dauer der Sichtbarkeit pro Tag und Satellit: ~2300 s
[3] Bandbreite der Satelliten-Kommunikation: ~500 Mb/s

Das täglich anfallende Datenvolumen beläuft sich so schätzungsweise auf etwa 75 TB, was einer benötigten Bandbreite von etwas mehr als 7 Gb/s entspricht – und das unter der Annahme, das praktisch alle Satelliten mit polarem Orbit abgehört werden, optimal sichtbar sind und auch entsprechend genügend Daten zu senden haben!

Da bleiben also zwischen 618 Gb/s und 4.99 Tb/s für eine andere Nutzung übrig; selbst wenn unsere Abschätzung um den Faktor 10 falsch wäre, bliebe noch immer eine enorme Bandbreiten-Reserve. Was zum Teufel machen die da wirklich, das eine so hohe Bandbreite erfordert?


[1] Bestimmt aus den öffentlichen Bahnelementen von rund 1'500 Satelliten im TLE-Format; Kriterium: Inklination 90° ± 10°.
[2] Bei einer Umlaufhöhe von 600km und ignorieren der Atmosphäre; tatsächlich wohl geringer.
[3] Kommunikationssatelliten haben eine höhere Bandbreite (~80Gbit/s), aber „datensammelnde“ Satelliten benötigen keine so hohe Bandbreite, da sie gar nicht genügend Daten sammeln können, die eine solche Bandbreite erforderlich machen würde.

Digital Direct Actions

Cyberrightsnow.png
Spätestens seit das Internet zu einem Mainstream-Medium und damit zu einem Spiegelbild der gesellschaftlichen Realität geworden ist, versuchen uns selbster­nannte Moralapostel verschiedenster Couleur vorzuschreiben, wie und wo wir uns im Internet zu bewegen haben und was wir dort tun dürfen und was nicht. Besondere Empfindlichkeiten gibt es vor allem immer dann, wenn es um politische Proteste und Aktionen im Netz geht; solche Formen der Unmutsäusserung werden vorzugsweise als „Cyberterrorismus“ diffamiert und das Internet als rechtsfreier Raum hingestellt, der mit allen zur Verfügung stehenden Mitteln überwacht werden muss.

Dem gilt es entgegen zu wirken. Hier soll es aber nicht darum gehen, das 42. Internet-Manifest zu verfassen, in dem die Grundrechte im Internet wie Anonymität, Informationsfreiheit oder informationelle Selbstbestimmung formuliert werden – dies haben schon ausreichend Organisationen und Einzelpersonen vom CCC über die EFF mit John Perry Barlow bis hin zum Internationalen Verband der Bibliotheka­rischen Vereine gemacht. Dass das Internet in dieser Hinsicht kein rechtefreier Raum sein darf, darüber sind wir uns wohl alle einig.

Stattdessen sollten wir jetzt ernsthaft anfangen darüber zu diskutieren, welche Formen und Mittel der politischen Aktion wir im Internet für legtim halten, um diese Rechte auch aktiv einzufordern, um das öffentliche Bewusstsein für die Notwendig­keit einer Veränderung zu sensibilisieren und die Rahmenbedingungen zu schaffen, in denen diese (neuen) Grundrechte garantiert und geschützt werden können. Genau genommen geht es also um das Recht, sich durch Proteste und Aktionen im Internet politisch zu artikulieren – auch hier darf das Internet kein rechtefreier Raum sein. Dabei sollte sich die Diskussion nicht auf Internet-Themen beschränken; Proteste im Internet können und sollten auch Anliegen betreffen, die nicht die digitale Welt an sich zum Gegenstand haben.

Deshalb werde ich zu diesem Thema auf den Datenspuren 2011 in Dresden (15./16. Oktober) eine Keynote halten. Zusammen mit Jens ist auch ein weiterführender Vortrag auf dem 28C3 in Berlin (Ende Dezember) geplant.

Daten-GAU bei WikiLeaks?

WikiLeaks
In den letzten Wochen - genauer gesagt seit der Veröffentlichung der unredigierten Diplomaten-Depeschen - ist WikiLeaks mal wieder zur Zielscheibe für die Transparenz-Kritiker geworden, die es schon immer gewusst haben: "WikiLeaks hat Blut an den Händen!".

Dies ist im übrigen das gleiche "Argument", mit dem WikiLeaks-Kritiker auch schon die Veröffentlichung der Afghan War Logs und der Iraq War Logs kommentiert haben - und am Ende kleinlaut eingestehen mussten, dass wohl doch niemand durch die Veröffentlichung zu Schaden kam.

Die Aufregung um den angeblichen "Daten-GAU bei WikiLeaks" wird aus meiner Sicht durch Medien mit verstecktem Eigeninteresse befördert und steht in keiner Relation zu den tatsächlichen Fakten und Vorgängen:

  • WikiLeaks ist mit dem Vorsatz angetreten, Whistleblower den Schutz der Anonymität zu gewährleisten. Dieses Prinzip ist durch die Veröffentlichung der unredigierten Cables auch in keinster Weise verletzt worden; dass die unredigierten Depeschen die Namen von US-Informaten enthalten, ist nicht Sache von WikiLeaks.
  • Wenn jemand für den Schutz und die Anonymität der in den Cables erwähnten Personen zuständig ist, dann doch wohl das State Department der US-Regierung und nicht WikiLeaks. Warum wurden in der gespeicherten Form die Klartextnamen beibehalten? Welche Relevanz sollte das haben?
  • Es gehörte zu den ursprünglichen Prinzipien von WikiLeaks, geleakte Dokumente immer unredigiert zu veröffentlichen, um das Vertrauen der Whistleblower zu erhalten. Denn was soll ein Whistleblower mit einer Plattform, von der er nicht sicher sein kann, ob und in welcher Form das geleakte Dokument letztendlich veröffentlicht wird. Mit dem Release der unredigierten Cables kehrt WikiLeaks zu diesem Prinzip zurück.
  • Die Cables waren fast 10 Jahre lang im SPIRnet von über 2.5 Millionen Amerikanern unredigiert einsehbar. Unter dieser grossen Anzahl von Menschen gibt es schon statistisch gesehen genügend Menschen mit Drogen- oder Geld-Problemen, die erpressbar sind. Es ist doch naiv anzunehmen, dass Geheimdienste repressiver Staaten WikiLeaks brauchen, um an dieses Cables zu kommen und darin zitierte Informanten zu verfolgen.
  • WikiLeaks hat die Klartext-Depeschen nicht als Erste veröffentlicht; diese waren schon vorher auf der CRYPTOME-Webseite abrufbar. WikiLeaks musste damit ebenfalls veröffentlichen, um die Integrität der kursierenden Depeschen sicherzustellen. Dass CRYPTOME (und eine ganzer Reiher anderer pfiffiger Leute, die das auf dem Web und in der Presse mitverfolgt haben auch) die Klartext-Depeschen hatte, liegt an drei Gründen:
    • ein Guardian-Journalist hatte das Passwort in seinem WikiLeaks-Buch veröffentlicht
    • WikiLeaks hatte die verschlüsselte Datei länger als notwendig auf dem Server belassen, der dann tausendfach gemirrored wurde
    • Ein Dritter kannte die URL dieser zugehörigen verschlüsselten Datei und das Passwort aus dem Buch und hat diese Informationen an die Presse weitergegeben

WikiLeaks hat in diesem Zusammenhang sicherlich ein bischen geschlampt und geschludert, aber das war nicht ursächlich für die Veröffentlichung der Klartext-Depeschen. Es gibt also keinen wirklichen Grund, beim allgemeine WikiLeaks-Bashing mitzumachen.

Meine Werkzeuge