Im Wall Street Journal erschien bereits vergangene Woche ein Artikel, der Prinzipien des nützlichen Vergessens und einer zugangsmäßig erleichterten Mißtrauenskultur illustriert: New Sites Make It Easier To Spy on Your Friends. Vauhini Vara berichtet darin recht niedrigschwellig: “If you are still relying on Google to snoop on your friends, you are behind the curve.” und weiter:

Armed with new and established Web sites, people are uncovering surprising details about colleagues, lovers and strangers that often don’t turn up in a simple Internet search. Though none of these sites can reveal anything that isn’t already available publicly, they can make it much easier to find. And most of them are free. [...]

The bad news, for those who find themselves targeted by snoops: There is no foolproof way to protect yourself from embarrassing personal-data leaks. But you can avoid many mishaps by going to the root of the leak — that is, by keeping individual pieces of personal data from being made public in the first place. If you don’t want people to find your address online, for example, don’t list it in local phone books, which often provide data to online address-search services. If you don’t want others to see your Amazon wish list or the photos you’ve stored on Flickr, visit those sites’ privacy pages and adjust your settings accordingly.

Am Ende des Artikels, der einen deutlich us-amerikanischen Fokus hat, gibt es eine kleine Aufstellung, wie man in den genannten Social Networking-Seiten potentiell heikle Informationen zumindest vor der breiten Öffentlichkeit verstecken kann. Für Deutschland bzw. für hier beliebte Social Networking-Seiten habe ich noch keine übersichtliche Darstellung dieser Art gefunden. Hat da jemand was zur Hand? Für die Zielgruppe der Bitkom-Studie vom Februar wäre das sicherlich relevant und übersichtlicher als die jeweiligen AGBs, die ja im Regelfall nur durchgeklickt werden.

Das “8th Privacy Enhancing Technologies Symposium (PETS 2008)” findet vom 23.-25. Juli 2008 in Leuven (Belgien) statt. Jetzt wurde ein Call-for-Papers dafür gestartet, der am 19. Februar endet.

The 8th Privacy Enhancing Technologies Symposium will bring together anonymity and privacy experts from around the world to discuss recent advances and new perspectives in privacy for the Internet and other communication networks. The symposium seeks submissions from academia and industry presenting novel research on all theoretical and practical aspects of privacy technologies, as well as experimental studies of fielded systems. We encourage submissions from other communities such as law and business that present their perspectives on technological issues. In a departure from previous years, the symposium proceedings will be available at the event, rather than after it. They will continue to be published in the Springer Lecture Notes in Computer Science series.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Peter Schaar, hat aus Anlass des gestrigen IT-Gipfels der Bundesregierung (zu dem er nicht eingeladen war) ein Thesenpapier zur datenschutzfreundlichen Gestaltung von Informationstechnik veröffentlicht. Das wäre wirklich eine Sache, die sich die Gipfelstürmer mal hinter die Ohren schreiben könnten. Deutschland hat im Bereich Datenschutz weltweit immer noch einen extrem guten Ruf und ist beim kürzlichen Ländervergleich von Privacy International sogar auf dem ersten Platz gelandet (ja - woanders scheint es noch schlimmer zu sein mit dem Ausbau des Überwachungsstaates). Sogar in den traditionell datenschutz-skeptischen USA wird immer lauter nach entsprechenden Maßnahmen gerufen, weil das Kundenvertrauen schwindet und ständig riesige Datenbanken offen rumstehen oder Laptops verloren gehen. Hier könnte man glaubwürdig und ohne großen Aufwand das Label “Made in Germany” durch datenschutzfreundliche IT-Produkte und Dienste aufwerten.

Ich bin jetzt gleich mal auf dem Weg nach Bremen, wo ich als Referent auf einem verdi-Kongress zum Thema “Mitbestimmung” eingeladen bin. In einer Session mit dem Titel “Mitbestimmung bei e-government” werde ich sowohl über Datenspuren und Privacy Enhancing Tools als auch über Social Software zur Kollaboration und Vernbetzung sprechen. Das ganze wird ein grober Überblick, um Personal- und Betriebsräten etwas mehr Bewusstsein im Umgang mit Informationstechnologien zu vermitteln.

Wie anderswo schon berichtet, wurden vor einer Woche die Festplatten mehrerer Anonymisierungs-Server in Deutschland von der Polizei beschlagnahmt, der Hintergrund waren Ermittlungen wegen Terrorismus Kinderpornografie. Kai Raven hat schon ausführlich erläutert, warum das den Staatsanwaltschaften im Zweifelsfall keine Informationen bringt.

Bislang war nur die Rede von drei TOR-Nodes. Jetzt wurde bekannt, dass auch der AN.ON-Server des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein am 6. September beschlagnahmt wurde, der Teil des JAP-Anonymisierungsnetzes ist. Das ULD hat diese Beschlagnahme aber erst aufgrund eigener “aufwändiger Recherchen” am 11. September herausgefunden und den Beschluss nach mehrfachem Nachhaken bei den Behörden am 13. September erhalten, wie es heute bekannt gab.
Nach der geplanten Vorratsdatenspeicherung, der jüngsten Kampagne der CDU-Landesregierung gegen den AN.ON-Server der Kieler, der Ankündigung der Bundesregierung, die Internet-Überwachung durch den Verfassungsschutz auszubauen, der Kriminalisierung von offenen WLAN-Hotspots, die einen anonymen Netzzugang erlauben, ist diese Maßnahme ein weiterer Mosaikstein, der den allgemeinen Druck auf die anonyme Nutzung des Netzes erhöht und einen Diskurs etabliert, der “Kinderpornografie”, “Terrorismus” und “Internet” zusammenbringt und mit dem “wer was zu verbergen hat, ist schon verdächtig”-Theorem verknüpft. Wann werden wohl die Betreiber von Cybercafes gesetzlich verpflichtet, die Daten ihrer Kunden zu speichern, wie in Polizeistaaten wie China oder Tunesien schon lange üblich? Wer ein Prepaid-Handy kauft, muss ja auch schon seinen Ausweis vorzeigen.

Noch vor weniger als einem Jahr hatten Frank Rieger und Rob Gonggrijp auf dem CCC-Kongress Aufsehen erregt mit ihrer These, dass wir den Krieg gegen den Überwachungsstaat verloren haben. Ihre zentrale Schlussfolgerung:

Anonymity will become the most precious thing.

Anscheinend haben da einige Leute in den Sicherheitskreisen dieses Landes aufmerksam zugehört und versuchen nun gezielt, diesen Punkt zu treffen. Das zeigt für mich aber gerade, dass man es entgegen der Einschätzung von Frank und Rop nicht dabei belassen kann, noch bessere Krypto-Spielzeuge zu entwickeln. TOR und JAP könnte heute bereits jeder benutzen, der zuhause ins Netz geht oder in der Firma nicht hinter einer paranoiden Firewall sitzt. Das Problem ist nicht die Technik, sondern ihr öffentliches Image. Es ist nicht cool, hip oder selbstverständlich, auf seiner Anonymität im Netz zu beharren und etwas dafür zu tun, sondern gilt entweder als geekig, paranoid oder eben der Kinderpornografie verdächtig. Was fehlt, sind schlagende Argumente bzw. ihre weitere Verbreitung auf zwei Ebenen:

1) Es ist eine Selbstverständlichkeit, dass man in einer freien Gesellschaft anonym tun und lassen kann, was man will, solange man sich nicht irgendeiner Straftat o.ä. verdächtig gemacht hat. Das geht weder den Staat noch irgendwelche Provider etwas an. Punkt.

2) Die Beschränkung von Anonymität und Verschlüsselung stellt selber ein Risiko dar. Dies haben die Leute vom ULD sehr schön in ihrer Pressemitteilung herausgestellt:

Der beschlagnahmte Rechner ist Teil eines vom Bundesministerium für Wirtschaft und Arbeit geförderten Projektes AN.ON - Anonymität Online. AN.ON ermöglicht Nutzern des World Wide Web, mit Hilfe der Software JAP kostenlos unbeobachtet zu surfen. Es dient - wie vom deutschen Telediensterecht gefordert - der Gewährleistung des Datenschutzes im unsicheren weltweiten Netz und wird auch von vielen Unternehmen zum Schutz vor Wirtschaftsspionage genutzt.

Hier gibt es also einen Zielkonflikt zwischen dem Überwachungswahn der Polizei- und Geheimdienstfraktion auf der einen Seite und dem Interesse der Wirtschaft an Schutz ihrer Firmengeheimnisse auf der anderen Seite. Diese Argumentation hat bei der Echelon-Debatte wunderbar funktioniert, sie könnte aktuell mal wieder ausgebaut werden. Quintessenz hat das kürzlich sehr schön in bezug auf die Übermittlung der Passagierdaten in die USA gemacht:

Ein paar Wochen im Voraus zu wissen, dass z.B. ein ungewöhnlich großer Trupp Siemens-Manager nach Seattle fliegt, kann doch allemal von Interesse sein.

Also: Kommentare und Ideen erbeten. Denkt euch mal ein paar entsprechende Szenarien zum Thema nicht-anonymer Internetzugang aus.

Bei BoingBoing berichtet ein Leser über aktuelle Erfahrungen bei der Nutzung von Google als Suchmaschinen in Zusammenhang mit Anonymisierungstools: Google blocking privacy technology. Seit heute morgen soll es nur noch 403-Fehlermedlungen und folgenden Text geben:

“We’re sorry…

… but your query looks similar to automated requests from a computer virus or spyware application. To protect our users, we can’t process your request right now.

We’ll restore your access as quickly as possible, so try again soon. In the meantime, if you suspect that your computer or network has been infected, you might want to run a virus checker or spyware remover to make sure that your systems are free of viruses and other spurious software.

We apologize for the inconvenience, and hope we’ll see you again on Google.”

Ich kann gerade nicht verifizieren, ob diese Meldung auch in Deutschland bei der Nutzung von TOR, etc. auftritt. Sollte es sich aber herausstellen, dass an dem Vorwurf was dran ist, so ist das eine nicht akzeptable Herangehensweise von “Google - We are not evil”.