Anonymizer.gov?

Wie anonym können Anonymisierungdienste heute noch sein?

Im Mai diesen Jahres verteilte die iranische Regierung eine schwarze Liste an sämtliche Internetprovider des Landes, die rund 15.000 "amoralische" Websites enthielt, und verlangte die umgehende Zugangssperrung. Neben Erotik- und Porno-Angeboten fanden sich auch etliche internationale Informations- und Nachrichtenseiten auf dem Index.

Ab sofort sind diese von der Regierung unerwünschten Inhalte den zwei Millionen Internetnutzern im Iran wieder zugänglich - zumindest über Bande: Der Privacy-Spezialist Anonymizer.com nahm letzte Woche einen Proxyservice in Betrieb, dessen Nutzung allein Usern aus dem persischen Gottesstaat vorbehalten bleibt. Die Betreiber lassen sich dabei auf ein Hase-Igel-Spiel mit den iranischen Obrigkeiten ein: Die wechselnden Zugangs-URLs werden über Radiosendungen bekannt gegeben, sowie über Rund-Emails an Adressaten verteilt, welche von iranischen Menschenrechtsorganisationen beigesteuert werden.

Finanziert wird das Projekt aus dem US-Staatssäckel. Das International Broadcasting Bureau (IBB), der News- und Propaganda-Arm der USA in Übersee, zahlt Anonymizer Inc. eine nicht näher genannte Summe für Aufbau und Betrieb des Dienstes.

Die finanzielle Verbandelung eines Unternehmens, das seine Kunden unter anderem auch vor Zugriffen der US-Staatsmacht schützen soll, mit einem Vertreter ebendieser Staatsmacht lässt sich wohl zumindest pikant nennen.

Spätestens seit der so genannte PATRIOT-Act die US-Behörden mit nahezu grenzenlosen Zugriffsrechten auf Firmenunterlagen und Kundenkarteien ausstattete, besteht die größte Lust der Ermittlungsbehörden bekanntlich im Sammeln von Daten. Reisebüros, Buchhändler und Tauchschulen mussten bereits ihre Kundenlisten herausgeben und so wirkt die Liaison zwischen Anonymizer.com und IBB auf Datenschützer nicht unbedingt beruhigend.

Aber auch in Ländern in denen vorerst kein Patriotenakt den Datenschutz aushebelt, haben es die Anbieter von Anonymisierungsdiensten nicht leicht: Vor kurzem erst mussten die Betreiber des JAP-Projekts der TU Dresden auf Anordnung des BKA eine Protokollfunktion in ihren Service integrieren, welche einen Anonymisierungsdienst nicht unbedingt anonymer macht. Obendrein ließen die Dresdener ihre User über diese "Funktionserweiterung" lange Zeit im Unklaren und reagierten erst sehr spät mit einer Pressemitteilung auf bereits kursierende Berichte. Ob das Vorgehen des BKA dabei rechtens war, ist mehr als fraglich, was an den Fakten allerdings nichts ändert.

Diese, nun ja, unelegante Vorgehensweise hat sich auch schnell bis über den großen Teich herumgesprochen:

"Selbstverständlich ist es JAPs Recht, ihre Dienste unter den Bedingungen anzubieten, die sie vorziehen", äußert sich Lance Cottrell, Chef und Gründer von Anonymizer Inc. gegenüber Telepolis. "Allerdings ist es unethisch, nicht absolut ehrlich darzulegen, wie diese Regeln denn genau aussehen." Und Cottrell legt nach:

Das Verhalten der Nutzer orientiert sich unmittelbar an ihrer Einschätzung über den Schutz ihrer Anonymität. Die Nutzer über das Niveau des Datenschutzes zu belügen, kann effektiv dem Stellen einer Falle gleichkommen.

Harte und klare Worte. Und der regierungsfinanzierte Iran-Proxy? Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) sieht so ein Projekt bei Anonymizer Inc. prinzipiell in guten Händen. Lee Tien, Senior Staff Attorney des Vereins, warnt allerdings auch:

Theoretisch könnte natürlich der Vertrag eine Klausel enthalten, die der Regierung mehr Zugriff auf die Daten einräumt, als sie sowieso schon haben. Das größte Problem ist: Ob es nun einen Vertrag gibt oder nicht, die Regierung verfügt über Rechtsmittel, mit deren Hilfe sie jedes Unternehmen zwingen können, seine Kundendaten herauszugeben. Die generelle Frage heißt also: Besitzt Anonymizer Userdaten in verwertbarer Form?

Hierzu Paula Dunne, PR-Beauftragte des Unternehmens:

Anonymizer ist so konstruiert, dass es absolut unmöglich ist, persönliche Informationen an irgendjemanden herauszugeben. Keine private Information gelangt auf irgendeinem Weg je auf einen der Server. Die Tatsache, dass das Unternehmen überhaupt nicht in der Lage wäre, User-Informationen weiterzugeben, ist der Schlüsselmechanismus um Sicherheit und Schutz gewährleisten zu können.

In das gleiche Horn stößt auch Lee Tien:

Es gibt keinen Schutz gegen einen ordnungsgemäßen Gerichtsbeschluss. Aber es gibt praktische Vorsichtsmaßnahmen. Wenn man z.B. keine Serverlogs führt, was wir empfehlen, gibt es auch keine Daten, die herausgegeben werden können.

Klar, einem nackten Mann kann man bekanntlich nicht in die Tasche greifen, aber vielleicht zum Singen bringen? Diese Arien würden dann allerdings unter Ausschluss der Öffentlichkeit intoniert werden: Gemäß PATRIOT-Act ist es einem Unternehmen ebenfalls untersagt, darüber zu plaudern, ob überhaupt Kundendaten angefordert und herausgegeben wurden. Eine - wenn auch verspätete - Pressemitteilung wie im JAP-Fall wäre in den USA somit mehr als unwahrscheinlich.