Unter Beobachtung

Von einem, der auszog der Massenüberwachung zu entgehen - und das Fürchten lernte. Ein Erfahrungsbericht

Zugegeben: Das ist jetzt ein bisschen übertrieben. Aber tatsächlich beschleicht mich hin und wieder das Gefühl, es sei eine Vollzeitbeschäftigung, sich der allgegenwärtigen Bespitzelung zu entziehen, so rapide, wie sich die Techniken und Angriffsvektoren der Gegenseite entwickeln und vermehren.

Bei dieser Gegenseite handelt es sich nicht etwa um Geheimdienste oder Ermittlungsbehörden - abgesehen davon, dass mich dieses Bedrohungsszenario kaum betreffen dürfte, ist gegen solch gezielte Überwachung wenig auszurichten. Was diese angeht, hat Jewgenij Kasperskij ein schlüssiges Statement abgegeben, als er vor ein paar Jahren am Rande einer Konferenz in Dublin gefragt wurde, wie er denn vertrauliche Dokumente auf seinem Computer schützen würde: "Vertrauliche Dokumente? Auf einem Computer? Ich bin doch nicht verrückt." Und ausgebildet als Kryptograph an der Moskauer KGB-Hochschule, hat Kaperskij mir doch einiges voraus.

Was soll's, meine Gegenwehr richtet sich nicht gegen gezielte Bespitzelung, sondern vorrangig gegen die Ausforschung durch kommerzielle Überwacher, die unter dem Buzzword "Big Data" firmieren. Was wollen sie abgreifen? Meine Daten? Klingt harmlos. Informationen über mich? Schon eher. Meine Gedanken, meine Träume, meine Verletzlichkeiten, meine Vorlieben, meine Wut …? Das trifft's.

Und schon sind wir bei Artikel 1 des Grundgesetzes: "Die Würde des Menschen ist unantastbar." Die meisten mögen ihre Würde nicht beeinträchtigt sehen, wenn Fremde ihr Innerstes durchwühlen - wenn es denn nur auf eine Weise geschieht, die sich ihrer sinnlichen Wahrnehmung entzieht. Ich schon. Und für diese Bockigkeit in Bezug auf meine Menschenwürde muss ich zahlen: mit Zeit und Mühe, mit wachsenden Einschränkungen im Alltagsleben und auch mit Geld.

Tor verlangt Leidensfähigkeit, Wissen und Disziplin

Kaputte Webseiten, die sich schon mal quälend langsam aufbauen wie damals zu Zeiten der Einwahlmodems in den Neunzigern - so etwas gehört zu den alltäglichen Erfahrungen derer, die mit dem Tor Browser Bundle im Web unterwegs sind. Von dem Zirpen und Quäken der damaligen Netzwerktechnik bleibt man immerhin verschont, und außerdem bietet das Tor Project mit seiner Paketlösung für einen möglichst anonymen Webzugang eine Komfortlösung. Zu konfigurieren bleibt da wenig, in den Einstellungen das Sicherheitslevel auf "hoch" zu stellen reicht eigentlich schon, um möglichst wenige Spuren zu hinterlassen - trotz der permanenten Angriffe von Geheimdiensten oder Ermittlungsbehörden auf das Tor-Netzwerk, von denen manche auch schon erfolgreich waren.

Dieser Komfort ist allerdings nur ein scheinbarer, in der Anwendung wird das Tor Browser Bundle unbequem. Dank deaktiviertem Javascript sehen viele Webseiten aus wie Kriegsschauplätze, wenn sie denn überhaupt dargestellt werden. Vieles funktioniert nicht, und das fängt schon oft mit der Navigation auf der Website an. Natürlich ließe sich solches Ungemach von den Betreibern dieser Webauftritte zum größten Teil vermeiden, doch die kümmern die Belange von Nutzern, denen ihre Privatsphäre wichtig ist, meist herzlich wenig.

Ausnahmen gibt es natürlich immer wieder. Auf der Website von Amazon kann man beispielsweise auch ohne Javascript einen kompletten Einkaufsbummel absolvieren, bis hin zum Warenkorb. Das Problem dabei: Wer sich gegenüber Amazon - oder auch seiner Bank, dem Mail-Provider oder sonst wem - mit Eingabe von Login-Daten identifiziert, hat sich de-anonymisiert. Und auf solche Fauxpas lauern an den Exit-Nodes von Tor Horden von Schnüfflern. Fazit: Für die Benutzung von Tor bei Webbesuchen sind Leidensfähigkeit, ein gewisses Maß an Wissen und ausgeprägte Disziplin vonnöten.

Hase-und-Igel-Spiel bei der Spionageabwehr

Beim zweiten Browser, der für alle Webseiten gefragt ist, bei denen man sich anmelden muss, fällt dagegen jede Menge Handarbeit an. Beim Firefox ist es mit ein paar Einstellungen in den Rubriken "Datenschutz" und "Sicherheit" längst nicht getan. Eine Handvoll Add-ons müssen zusätzlich installiert werden, NoScript oder uMatrix, uBlock origin, CanvasBlocker, HTTPS Everywhere … Und nicht nur installiert, denn Erweiterungen wie NoScript und uMatrix erfordern auch im täglichen Einsatz eine gewisse Frickelei vom Nutzer, der dafür hoffentlich die nötige Geduld und Kompetenz mitbringt. Damit nicht genug: Nach Aufruf von about:config in der Adresszeile des Firefox sind noch diverse Änderungen an Parametern vorzunehmen, um beim Surfen im Web die egelhaften Verfolger abzuschütteln.

War's das jetzt? Das war's nicht, im Alltag läuft die Sache auf ein Hase-und-Igel-Spiel hinaus. Unermüdlich erweitert das World Wide Web Consortium (W3C) die Webstandards um neue Spezifikationen, und unermüdlich entwickelt der Überwachungskapitalismus Spionagetechniken, die auf den so geschaffenen Features aufsetzen, um ein Browser-Fingerprinting zu ermöglichen. Wer da als Nutzer nicht auf dem Laufenden bleibt und mit neuen Abwehrtechniken permanent gegenhält, hat das Spiel schnell verloren.

Dabei ist die Spionageabwehr auf dem Desk- oder Laptop noch vergleichsweise trivial, so richtig haarig wird die Sache bei Smartphones. Auf meinem Smartphone werkelt kein handelsübliches Android, sondern ein Google-freies LineageOS. In dessen Datenschutzeinstellungen sind nicht nur den installierten Apps ihre Rechte restriktiv zugeteilt, über iptables wird der gesamte ausgehende Datenverkehr gefiltert, und im Normalfall bleiben Lokalisierungsdienste, Bluetooth und WiFi abgeschaltet.

Trotzdem traue ich dem Gerät in etwa so weit, wie ich eine Ratte spucken kann. Der Baseband-Prozessor führt ein unkontrollierbares Eigenleben, sein Betriebssystem hat umfassende Zugriffsrechte auf das Smartphone, und auch die unscheinbare SIM-Karte hat es in sich: ein System on a Chip mit einem Prozessor der Leistungsklasse, in der Ende der 80er-Jahre Spitzen-PCs angesiedelt waren.

Mobilfunkgeräte von Natur aus Wanzen

Von solchen potentiellen Einfallstoren abgesehen sind alle Mobilfunkgeräte von Natur aus Wanzen: An ihrer ständigen Ortbarkeit und ihren laufenden Standortmeldungen ist technisch bedingt nicht zu rütteln. Das ist bitter angesichts der deutschen Vorratsspeicherung, die am 1. Juli in Kraft tritt - wer mit wem wann und wo telefoniert, wird dann von Staats wegen festgehalten, schließlich mag die Obrigkeit das Feld der Massenüberwachung doch nicht so ganz den kommerziellen Schnüfflern überlassen.

Oder lässt sich da doch was machen? Indem man die SIM-Karte entfernt und weitere herbe Einschränkungen im Alltag in Kauf nimmt? Was wäre, wenn ich mich mit offenen WLANs begnügte, in die ich mich über ein VPN oder Tor verbinde, wenn sich unterwegs die Gelegenheit ergibt? Bringe ich so den Baseband-Prozessor zum Schweigen, der den Funkverkehr zwischen Gerät und Mobilfunknetz steuert und nebenher so allerhand über mein Gerät ausplaudert?

Ich frage Karsten Nohl, einen renommierten Krypto- und Sicherheitsforscher, zu dessen Schwerpunkten Mobilfunksicherheit zählt. Nohl ist mit solch einem naiven Auskunftsersuchen natürlich völlig unterfragt, seine Antwort: "Ganz und gar nicht - ein Mobiltelefon funktioniert auch ohne SIM-Karte, zum Beispiel, um Notrufe abzusetzen." Und wenn es um den Abfluss eigener Daten geht, komme es doch ganz zentral darauf an, welche Dienste man in Anspruch nimmt, betont er. "Wenn ich von Google Maps wissen will, wo die nächste Pizzeria ist, muss ich entsprechende Daten an Google übermitteln." Außerdem sieht er so radikale Maßnahmen, wie ich sie im Sinn habe, eher skeptisch: "Bei deaktivierter Telefonfunktion könnten wir uns jetzt nicht unterhalten." Da hat er Recht.

Dass der Erfolg von Spionageabwehr maßgeblich von den genutzten Diensten abhängt, war mir allerdings auch vorher schmerzlich bewusst. Natürlich "google" ich nicht, sondern setze auf Suchmaschinen wie Startpage, Qwant oder DuckDuckGo. Ich habe keine Accounts bei Facebook, Twitter, Instagram oder WhatsApp. Ich nutze keine kostenlosen E-Mail-Dienste, bei denen ich im günstigen Fall mit Spam eingedeckt, im ungünstigen ausspioniert werde.

Außerdem: Verzicht auf PayPal, wo all meine Transaktionen auf unbegrenzte Zeit gespeichert werden. Kein Streaming über Netflix oder Amazon Prime, weil ich nicht will, dass mein digitales Dossier auch noch um alle Serien und Filme erweitert wird, die ich jemals angeschaut habe. Keine E-Books mit DRM, selbst die "Onleihe" der Öffentlichen Bücherhallen Hamburgs kommt nicht in Frage - natürlich ist man auch hier nicht zu einer europäischen Lösung in der Lage; die Titel aller Bücher, die ich mir ausleihen kann, landen wieder in Datenbanken auf US-amerikanischen Server, denen von Adobe Systems. Die Informatikerin Constanze Kurz brachte die Malaise bündig auf den Punkt: "Wer liest, der wird gelesen."

Mobilität, Gesundheit, Reisen, Bildung: Es immer schwieriger, Deckung zu finden

Wer nicht auf Schritt und Tritt ausspioniert werden will, lädt sich nicht nur Mühen auf. Er muss sich auch einen asketischen Charakter antrainieren, um mit dem Verzicht an allen Ecken und Enden leben zu können. Und da die Trennung von analoger und digitaler Welt längst obsolet geworden ist, geht der Verzicht sehr weit.

Gelegentlich auf einen Smart von Car2Go zugreifen zu können, ist doch eine harmlose Angelegenheit. Tatsächlich? Ich frage bei der Presseabteilung von Daimler nach, wie lange die dabei anfallenden Daten gespeichert werden. Die Antwort: Wir speichern nur Anfangs- und Endpunkte der Fahrt mit den dazugehörigen Zeitpunkten, dazu die betreffenden Daten, wenn zwischendurch geparkt wird.

Dazu lässt mich die freundliche Dame aus der Presseabteilung wissen: "Die Erstellung eines detaillierten Bewegungsprofils ist mit diesen begrenzten Koordinaten nicht möglich." Das ist wohl wahr, wenn es nur um eine einzige Anmietung geht. Bei wiederholter Nutzung von Car2Go lässt sich allerdings ein frappierend detailliertes persönliches Nutzerprofil erstellen. Und tatsächlich werden die entsprechenden GPS-Daten beim Autovermieter für zehn Jahre gespeichert.

Dass man mit dem eigenen Wagen weniger Spuren hinterlässt, darf bezweifelt werden – moderne Fahrzeuge sind längst vernetzte Computer auf Rädern, bei denen bis zu 25 Gigabyte pro Betriebsstunde anfallen. Bleibt nur die Frage, welchem Konzern der Datensegen zusteht, dem Auto- oder dem Softwarehersteller?

Dieses drängende Problem bewegte jedenfalls Bundeskanzlerin Merkel bei ihrer Eröffnungsrede der diesjährigen CeBIT. Dass die Datensouveränität möglicherweise beim Fahrzeugbesitzer liegen könne, kam ihr nicht in den Sinn.

Solche Beispiele aus dem Bereich Mobilität demonstrieren: There is no place to hide, wenigstens wird es immer schwieriger, Deckung zu finden. Und dabei geht es nur um eine Facette des Lebens, dasselbe ließe sich für viele andere durchexerzieren, Gesundheit, Reisen, Bildung etwa.

Ein weiteres Problem: Wir spionieren einander gegenseitig aus. Als ich vor einiger Zeit Telefonnummern mit einem Fellow der Free Software Foundation Europe austauschte, kam von ihm eine Frage, die ich nie zuvor gehört hatte und wahrscheinlich kaum jemals mehr hören werden: "Mein Adressbuch wird mit Google-Servern synchronisiert - ist es dir recht, wenn ich deine Nummer eintrage?"

Ich nickte gottergeben, eingedenk dessen, dass längst schon Hunderte vor ihm alles Mögliche an persönlichen Informationen über mich an diverse Datenbanken übertragen hatten, und das in aller Unschuld: meinen Namen, meine Privatadresse, Telefonnummern, E-Mail-Adressen, wahrscheinlich Geburtsdatum, Bankverbindung und was man sonst so in Adressbüchern festhält. Ich hoffe, dass bisher niemand ein Foto an Facebook übertragen hat, auf dem ich gut genug für Gesichtserkennung zu erkennen bin. Aber ich bezweifle, dass mir das erspart geblieben ist.

Eine Allianz der Überwacher, Kontrolleure und Manipulatoren wächst zusammen

Beim Wahren der Privatsphäre im digitalen Zeitalter gelten ähnliche Regeln wie bei der Hygiene. Für sich allein kann man wenig ausrichten. Wer sich etwa im Mittelalter ganz entgegen den üblichen Gepflogenheiten regelmäßig gewaschen hätte, sein Trinkwasser abgekocht, das Haus von Ratten frei gehalten hätte, der wäre möglicherweise etwas weniger von Ungeziefer geplagt, von der einen oder anderen Infektion verschont geblieben. Die Pest hätte ihn womöglich trotzdem erwischt - eben auch weil sich all seine Zeitgenossen um ihn herum nicht an elementare Regeln der Hygiene hielten. Außerdem hätte er in Kauf nehmen müssen, von ihnen als Sonderling angesehen zu werden.

Für einen Sonderling gehalten werden - damit kann ich leben. Und wundere mich im Gegenzug über die Naivität, auf die ich allerorten stoße, etwa bei Facebook-Nutzern, die im rührenden Glauben leben, der Konzern wisse nur das über sie, was sie bewusst preisgeben. Dabei macht diese freiwillige Datenspende ja nur einen Bruchteil des konzerneigenen Stasi-Archivs aus: Annähernd jeder der allgegenwärtigen Like-Buttons auf Webseiten funktioniert da etwa als Wanze (heise.de hat diese Tracking-Funktion, die in der Regel ohne jedes Zutun des Nutzers anspringt, aus Gründen des Datenschutzes entschärft). Zudem kauft Facebook personalisierte Daten aus der "analogen Welt" en masse zu, um zu ergänzen, was vom Nutzer willentlich oder unwillentlich im Netz preisgegeben wird.

Bei dieser Zusammenführung von Daten aus verschiedensten Quellen geht es längst um eine übliche Praxis: Jüngst erklärte Google, dass der Konzern nunmehr rund 70 Prozent aller Kreditkartenzahlungen, die in US-amerikanischen Ladengeschäften getätigt werden, in seinen stetig anschwellenden Datenbestand aufsaugt. An die fehlenden 30 Prozent zu kommen dürfte eine Frage der Zeit sein.

"Data Brokers", "Data-Analytics"-Unternehmen … allein in den USA sind über 4000 Unternehmen in der Überwachungswirtschaft angesiedelt, deren Namen, Datalogix oder Acxiom etwa, kennen die allerwenigsten. Wer einen tieferen Einblick in diese Industrie gewinnen will, findet in dem Buch "Networks of Control" von Christl Wolfie und Sarah Spiekermann Stoff für Alpträume genug; fürs erste tut es auch Christls Report "Corporate Surveillance in Everyday Life".

Aber wer will all das schon wissen?

Wenn es denn nur um meine persönliche Datenhygiene ginge, dann würde ich meinen mühseligen Widerstand gegen die allumfassende Bespitzelung klaglos auf mich nehmen, auch im Bewusstsein, dass ich damit in einer Welt des "Internet of Things" zunehmend zum Don Quijote werde. Tatsächlich führt die wuchernde Überwachungswirtschaft aber geradewegs in eine Dystopie, den Verlust der Freiheit aller in zunehmend beschädigten Demokratien.

Denn dass die "Public Private Partnership" zwischen kommerziellen und staatlichen Überwachern eine Erfolgsstory ist, das haben schon die ersten Snowden-Enthüllungen über das PRISM-Projekt der NSA offengelegt - ganz unabhängig davon, ob die Konzerne von Big Data jetzt willentlich oder unwillentlich als Zulieferbetriebe fungierten. Den einen geht es ums Geld - ein in diesem Zusammenhang vergleichsweise ehrenwerter Antrieb -, den anderen um Macht und Kontrolle in einem Ausmaß, das jede Vorstellung von Demokratie konterkariert. Und auch wenn von der kommerziellen Seite immer wieder mal Widerstand gegen potentiell geschäftsschädigende Übergriffe des Staats aufflammt, wächst da doch zusammen, was zusammengehört: eine Allianz der Überwacher, Kontrolleure und Manipulatoren.

Wo bleibt der Widerstand auf breiter Front?

In H.G. Wells‘ "Die Zeitmaschine" stößt der Protagonist in einer fernen Zukunft auf ein sorglos und unbeschwert vor sich hinlebendes Völkchen, die Eloi. Ihr sonniges und gedankenarmes Dasein scheint nur gegen Einbruch der Dunkelheit getrübt, dann überkommt die Eloi eine gewisse Unruhe und Beklemmung, die sich der Zeitreisende nicht recht erklären kann. Zumindest, bis er eine Entdeckung macht: Es gibt noch eine weitere Rasse, die Morlocks. Sie leben verborgen im Untergrund, sorgen für die Bedürfnisse der Eloi, beherrschen eine unterirdische Maschinenwelt. Und besonders in mondlosen Nächten fangen sie dann eine Handvoll Eloi ein, um sie als leichte Spätmahlzeit zu sich zu nehmen. Die Eloi sind das Nutzvieh der Morlocks.

Ich schaue mich um und sehe: Eloi überall.