In den vergangenen Tagen waren die Schlagzeilen voll von Berichten über das PRISM-Projekt der US National Security Agency (NSA) und angeblichen Hintertüren zur automatischen Datenabfrage bei Google, Microsoft, Apple, Skype, Facebook und vielen weiteren Firmen. Nun sind die Fakten mehr oder weniger klar. Android User erklärt.
Es ist immer noch ein Skandal, was sich der US-Geheimdienst erlauben darf und welcher Methoden sich vermutlich auch andere Geheimdienste bedienen, aber die Reichweite bleibt weit unter den Möglichkeiten, die in den ersten Berichten geschildert wurden. Inzwischen ist bekannt, von wem die geheimen Informationen stammen und Wogen haben sich etwas geglättet. Doch gerade als Smartphone-Nutzer sollte man sich mit dem Thema auseinandersetzen.
Automatismen, ja – Backdoor, nein
Ein recht umfassendes Bild zeichnet dieser Bericht zu PRISM der Washington Post auf, den wir als Grundlage für diesen Artikel benutzen. Wir konzentrieren uns auf Google, andere US-Firmen haben der NSA vermutlich ähnliche Dienste geleistet oder sind wie der Provider Verizon noch weiter gegangen.
Hinter PRISM verbirgt sich ein Programm der NSA, dessen Ziel darin besteht, automatisch möglichst viele Informationen über eine bestimmte Person oder mehere Personen zu sammeln, ohne dazu den üblichen Dienstweg via Gericht/richterlichen Beschluss gehen zu müssen. Wenn also der US Präsident bzw. die NSA wissen möchte, mit wem Sie oder Android User in den vergangenen 12 Monaten per Mail Kontakt hatte, dann muss die US-Behörde dazu nichts weiter tun, als über einen einfachen Mitarbeiter eine formlose Anfrage zu verschicken und schon kommen die passenden Daten von Google, Apple, Facebook, Microsoft, Yahoo und Co. Ob sich die Person in den USA befindet, welche Staatsbürgerschaft die Person hat etc, spielt dabei keine Rolle. Diese formlose Anfrage nennt sich National Security Letter.
Dieser Umstand ist eigentlich schon recht schockierend und weit entfernt vom Rechtsgefühl eines durchschnittlichen westeuropäischen Bürgers, aber de facto wohl gang und gäbe auf Geheimdienstebene.
Wie viele Anfragen?
Die NSA liest also nicht alle GMails und alle Google Hangouts mit. Stellt sich somit die Frage, wie viele? Und hier zeigt sich schon mal ein großer Pluspunkt von Google: Die National Security Letter werden bereits seit mehreren Monaten im Transparency Report von Google aufgeführt. Die Zahlen sind öffentlich einsehbar und halten sich durchaus im Rahmen. Pro Jahr gab es in den USA weniger als 1000 Anfragen, die insgesamt zwischen 1000 und 2000 Konten betrafen. Lediglich 2010 überschritt die Zahl der angefragten Konten die 2000er Grenze.
Etwas erschreckend ist auf den erten Blick der Umstand, dass die Zahlen in Deutschland über diesem Level liegen, denn alleine 2012 gab es über 3000 Anfragen, die knapp 4000 Konten betrafen. Vergleicht man diese Werte mit kleineren Nachbarländern wie Dänemark (70 Anfragen 2012, 5,5 Millionen Einwohner) oder der Schweiz (130 Anfragen, 7 Millionen Einwohner) aber auch mit Polen (750 Anfragen 2012), zeigt sich schnell, dass es hier keine Proportionen im Einwohnerverhältnis gibt. Zudem stellt sich die Frage, was mit Ländern wie Österreich oder der Slowakei ist, die in den Berichten von Google nicht geführt werden. Aus der detaillierten FAQ von Google wird die Lösung ersichtlich: Demnach decken die von Google angegebenen Zahlen nicht nur die National Security Letters ab, sondern sämtliche Anfragen zum entsprechenden Land. Die Zahl für Deutschland deckt somit auch Anfragen der Deutschen Regierung und anderer Institutionen ab. Bleibt es in einem Land unter 30 Anfragen, dann werden diese nicht aufgeführt, um keine Rückschlüsse zu den Zahlen zuzulassen.
Sind meine Daten bei Google sicher?
Angesichts der Tatsache, dass Google für das Jahr 2012 für Deutschland knapp 4000 Anfragen im Rahmen diverser Regierungsprogramme bekommen hat und davon 2012 rund 40 Prozent komplett oder teilweise ausgeliefert wurden, ist es sicherlich falsch, in Panik zu geraten. Bei (geschätzt) 20 Millionen GMail/Android-Nutzern und 2000 Anfragen bleibt ein Verhältnis von 1:10.000. Aber bereits ein Rechtschreibfehler oder ein anderer kleiner Fehler könnte dazu führen, dass morgen Ihre Daten von Google an die US-Regierung oder an eine deutsche Behörde übergeben werden. Dessen sollte man sich stets bewusst sein.
Kann man Google noch vertrauen? Google setzt sich von sämtlichen großen US-Firmen am meisten dafür ein, dass die Nutzer genau wissen, was mit ihren Daten passiert. Dass sich Google nicht gegen Anfragen des NSA wehren kann, hängt mit den gesetzlichen Gegebenheiten in den USA zusammen. Von allen US-Firmen halten wir aber Google weiterhin für den Dienstleister, der mit unseren Daten am vertrauensvollsten umgeht.
Wie kann ich mich schützen?
Auch unter Android kann man E-Mails mit GnuPG verschlüsseln. Dazu braucht man das Mail-Programm K9-Mail und die App APG. Optimalerweise wechselt man dann aber auch gleich den Provider und hostet seine E-Mails nicht bei Google. Und E-Mails sind ja nur ein Teil der Kommunikation. Wie zudem das Beispiel mit dem US-Provider Verizon schön zeigt, nutzt die ganze Verschlüsselung wenig, wenn der Provider sämtliche Standortdaten und weitere Infos quasi auf Knopfdruck an die NSA weitergibt. Wer ein Smartphone bzw. ein eindeutig personifiziertes Handy nutzt, ist quasi schon im Überwachungsapparat drin. Da anonyme Prepaid-Angebote inzwischen in allen europäischen Ländern verboten sind, gilt das also für jedes Handy.
Android User meint…
Schützen kann man sich vor den rechtlich äußerst fragwürdigen Methoden des NSA nur, indem man komplett auf Angebote von US-Firmen verzichtet und darauf hofft, dass der Überwachungswahnsinn im eigenen Land sich in Grenzen hält. Denn machen wir uns nichts vor: In den USA können sich die Wähler zwar zwischen zwei Parteien entscheiden, das System bleibt aber stets das gleiche. Hierzulande zeigt sich die Parteienlandschaft zum Glück noch etwas bunter und vor allem viel flexibler. Denken Sie bei der nächsten Wahl deshalb an PRISM, bevor Sie Ihre Stimme abgeben.