Seite 2: Hase-und-Igel-Spiel bei der Spionageabwehr

Beim zweiten Browser, der für alle Webseiten gefragt ist, bei denen man sich anmelden muss, fällt dagegen jede Menge Handarbeit an. Beim Firefox ist es mit ein paar Einstellungen in den Rubriken "Datenschutz" und "Sicherheit" längst nicht getan. Eine Handvoll Add-ons müssen zusätzlich installiert werden, NoScript oder uMatrix, uBlock origin, CanvasBlocker, HTTPS Everywhere … Und nicht nur installiert, denn Erweiterungen wie NoScript und uMatrix erfordern auch im täglichen Einsatz eine gewisse Frickelei vom Nutzer, der dafür hoffentlich die nötige Geduld und Kompetenz mitbringt. Damit nicht genug: Nach Aufruf von about:config in der Adresszeile des Firefox sind noch diverse Änderungen an Parametern vorzunehmen, um beim Surfen im Web die egelhaften Verfolger abzuschütteln.

War's das jetzt? Das war's nicht, im Alltag läuft die Sache auf ein Hase-und-Igel-Spiel hinaus. Unermüdlich erweitert das World Wide Web Consortium (W3C) die Webstandards um neue Spezifikationen, und unermüdlich entwickelt der Überwachungskapitalismus Spionagetechniken, die auf den so geschaffenen Features aufsetzen, um ein Browser-Fingerprinting zu ermöglichen. Wer da als Nutzer nicht auf dem Laufenden bleibt und mit neuen Abwehrtechniken permanent gegenhält, hat das Spiel schnell verloren.

Dabei ist die Spionageabwehr auf dem Desk- oder Laptop noch vergleichsweise trivial, so richtig haarig wird die Sache bei Smartphones. Auf meinem Smartphone werkelt kein handelsübliches Android, sondern ein Google-freies LineageOS. In dessen Datenschutzeinstellungen sind nicht nur den installierten Apps ihre Rechte restriktiv zugeteilt, über iptables wird der gesamte ausgehende Datenverkehr gefiltert, und im Normalfall bleiben Lokalisierungsdienste, Bluetooth und WiFi abgeschaltet.

Trotzdem traue ich dem Gerät in etwa so weit, wie ich eine Ratte spucken kann. Der Baseband-Prozessor führt ein unkontrollierbares Eigenleben, sein Betriebssystem hat umfassende Zugriffsrechte auf das Smartphone, und auch die unscheinbare SIM-Karte hat es in sich: ein System on a Chip mit einem Prozessor der Leistungsklasse, in der Ende der 80er-Jahre Spitzen-PCs angesiedelt waren.

Mobilfunkgeräte von Natur aus Wanzen

Von solchen potentiellen Einfallstoren abgesehen sind alle Mobilfunkgeräte von Natur aus Wanzen: An ihrer ständigen Ortbarkeit und ihren laufenden Standortmeldungen ist technisch bedingt nicht zu rütteln. Das ist bitter angesichts der deutschen Vorratsspeicherung, die am 1. Juli in Kraft tritt - wer mit wem wann und wo telefoniert, wird dann von Staats wegen festgehalten, schließlich mag die Obrigkeit das Feld der Massenüberwachung doch nicht so ganz den kommerziellen Schnüfflern überlassen.

Oder lässt sich da doch was machen? Indem man die SIM-Karte entfernt und weitere herbe Einschränkungen im Alltag in Kauf nimmt? Was wäre, wenn ich mich mit offenen WLANs begnügte, in die ich mich über ein VPN oder Tor verbinde, wenn sich unterwegs die Gelegenheit ergibt? Bringe ich so den Baseband-Prozessor zum Schweigen, der den Funkverkehr zwischen Gerät und Mobilfunknetz steuert und nebenher so allerhand über mein Gerät ausplaudert?

Ich frage Karsten Nohl, einen renommierten Krypto- und Sicherheitsforscher, zu dessen Schwerpunkten Mobilfunksicherheit zählt. Nohl ist mit solch einem naiven Auskunftsersuchen natürlich völlig unterfragt, seine Antwort: "Ganz und gar nicht - ein Mobiltelefon funktioniert auch ohne SIM-Karte, zum Beispiel, um Notrufe abzusetzen." Und wenn es um den Abfluss eigener Daten geht, komme es doch ganz zentral darauf an, welche Dienste man in Anspruch nimmt, betont er. "Wenn ich von Google Maps wissen will, wo die nächste Pizzeria ist, muss ich entsprechende Daten an Google übermitteln." Außerdem sieht er so radikale Maßnahmen, wie ich sie im Sinn habe, eher skeptisch: "Bei deaktivierter Telefonfunktion könnten wir uns jetzt nicht unterhalten." Da hat er Recht.

Dass der Erfolg von Spionageabwehr maßgeblich von den genutzten Diensten abhängt, war mir allerdings auch vorher schmerzlich bewusst. Natürlich "google" ich nicht, sondern setze auf Suchmaschinen wie Startpage, Qwant oder DuckDuckGo. Ich habe keine Accounts bei Facebook, Twitter, Instagram oder WhatsApp. Ich nutze keine kostenlosen E-Mail-Dienste, bei denen ich im günstigen Fall mit Spam eingedeckt, im ungünstigen ausspioniert werde.

Außerdem: Verzicht auf PayPal, wo all meine Transaktionen auf unbegrenzte Zeit gespeichert werden. Kein Streaming über Netflix oder Amazon Prime, weil ich nicht will, dass mein digitales Dossier auch noch um alle Serien und Filme erweitert wird, die ich jemals angeschaut habe. Keine E-Books mit DRM, selbst die "Onleihe" der Öffentlichen Bücherhallen Hamburgs kommt nicht in Frage - natürlich ist man auch hier nicht zu einer europäischen Lösung in der Lage; die Titel aller Bücher, die ich mir ausleihen kann, landen wieder in Datenbanken auf US-amerikanischen Server, denen von Adobe Systems. Die Informatikerin Constanze Kurz brachte die Malaise bündig auf den Punkt: "Wer liest, der wird gelesen."