Blackberry und die nationalen Sicherheiten

Rebellengruppe mit Blackberries - Foto von Toufeeq Hussain, Lizenz CC-BY-SA
Rebellengruppe mit Blackberries – Foto von Toufeeq Hussain, Lizenz CC-BY-SA

Schon 2007 fing man in der Vereinigten Arabischen Emirate (VAE) an, sich über Blackberry-Mobiltelefone als nationales Sicherheitsrisiko zu beschweren, weil deren Emails direkt auf ausländische Server übertragen und dort verwaltet werden. Dies habe Konsequenzen für die rechtliche, soziale und nationale Sicherheit, weil einige dieser Dienste missbraucht werden könnten. Der Verdacht, dass es der VAE nicht um die Speicherung im Ausland, sondern um die verschlüsselte Übertragung dorthin ging, lag nahe. Er erhärtete sich, als der Telefon-Provider Etisalat ein ‚Update‘ für Blackberry-Geräte anbot, das Spyware-Zugriff auf die Email-Funktion mit einschleuste. Der Hersteller RIM bot umgehend einen Fix an, und die VAE kündigte die Sperrung des verschlüsselten Blackberry Email-Services ab 11. Oktober diesen Jahres an.

Etwas zackiger ging Saudi-Arabien vor: Kurzfristig wurde angekündigt, dass in ein paar Tagen gesperrt würde, RIM reagierte laut Associated Press (AP) mit der Verlegung der Server nach Saudi-Arabien, und schwieg zu dem Thema, das plötzlich einfach vom Tisch war.

Zeitgleich fing Indien an, sich zu melden, und verlangte von RIM, indischen Behörden ab dem 31. August 2010 Zugriff auf die verschlüsselten Emails einzuräumen. Andernfalls werde man sperren. Und RIM reagierte angeblich mit der Ankündigung von Zugeständnissen: Indische Behörden sollten Zugriff auf die letzten 15 Tage bekommen. Bisher ist dies jedoch anscheinend noch nicht geschehen, und RIM dementiert die Ankündigung.

Ähnliche Vorgänge zeichnen sich in Russland und China ab.

Rebellengruppe mit Blackberries - Foto von Toufeeq Hussain, Lizenz CC-BY-SA
Rebellengruppe mit Blackberries - Foto von Toufeeq Hussain, Lizenz CC-BY-SA

Aber was soll das eigentlich?

Wie der Sicherheitsexperte Bruce Schneider betont, kann so gut wie jedes internetfähige Gerät verschlüsselt mit Email-Servern im Ausland kommunizieren – Zum Beispiel mit GMAIL über SSL (dabei ist die Nachricht selbst aber längst nicht ‚verschlüsselt‘, genau so wenig wie beim Blackberry!). Solche Dienste sind aber nicht an Hardware-Anbieter gebunden, die gerne ihre Geräte verkaufen wollen. Die Regierungen fordern also zum Staring Contest heraus: Sie wollen natürlich nicht die bösen Blackberry-Blocker werden, und RIM möchte auch gerne weiter am Markt bleiben.

Der nahe liegende – nennen wir es Kompromiss – ist es dann natürlich, die Angst des Staates vor „Rebellengruppen“ mit Blackberries zu mindern. Dafür kann man die relevanten Server ins jeweilige Land holen, wo sie dann „nachsichtigeren“ Gesetzen unterliegen, oder vielleicht auch eine kostengünstigere Methode finden, indem man Direktzugriff auf bestehende Infrastruktur gewährt.

Der falsche Schluss aus dieser Geschichte wäre es aber nun RIM als „die Guten“ zu sehen. Verschlüsselung ist Vertrauenssache, und gute Krypto lässt einen die Schlüssel selber machen, wie es zum Beispiel bei GPG für Email und OTR für Instant Messaging der Fall ist. Im Übrigen findet beim Blackberry ja auch nur die Kommunikation mit dem Server verschlüsselt statt, nicht etwa die Übertragung der gesamten Nachricht von Absender zu Empfänger. Für ‚Terroristen‘ ist sowas gänzlich ungeeignet. Nicht zuletzt Innenminister Thomas de Maizière warnt Mitglieder der Regierung vor der Nutzung von proprietären Verschlüsselungssystemen, bei denen der Zugangsstandard nicht selbst bestimmt wird. Eine guten Überblick zu Überwachung und Verschlüsselung bietet dieses Interview mit Sunil Abraham vom Bangalore Centre for Internet and Society.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

12 Ergänzungen

  1. Der Schlüsselaustausch findet beim BlackBerry (zumindest in der Enterprise-Variante) immerhin zwischen dem Endgerät und dem im Unternehmen betriebenen Server statt (auf Wunsch auch über die USB-Schnittstelle), so dass durchaus eine Ende-zu-Ende-Verschlüsselung erreicht werden kann. Ich kann mir deshalb nicht vorstellen, was sich die jeweiligen Regierungen von der Anwesenheit des RIM-Servers im eigenen Land versprechen (bei der Consumer-Variante sieht das anders aus).

    (OffTopic: Hey Leute, ich konnte erst das zehnte Captcha entziffern. Geht’s etwas einfacher?)

  2. Zitat: „Der falsche Schluss aus dieser Geschichte wäre es aber nun RIM als “die Guten” zu sehen.“

    Ach echt? Warum??

  3. Großartig, “Indien“ ist wahrscheinlich (leider) respektabel genug als das sich demnächst auch einheimische Politiker erblöden ähnliche Forderungen für Deutschland aufzustellen.

    Wobei: letzten Endes will man hierzulande mit de-mail doch auch nichts anderes erreichen als staatlichen Zugriff auf den Mailverkehr…

    (Zum OT von dentaku: Es wurde vor kurzem gezeigt, dass die Captchas von recaptcha inzwischen von Computern mit guten Treffer raten entziffert werden können. Wahrscheinlich ist die erhöhte Schwierigkeit die Reaktion darauf.)

  4. Schon interessant, dass ausgerechnet unser CDU Innenminister auf die Gefahren der Nutzerseite hinweist. Hätte eigentlich erwartet als Blackberry Nutzer auf die Liste der „Gefährder“ oder zumindest auf eine No-Flight Liste zu kommen.
    Trotzdem hoffe ich auf eine alternative zum Blackberry Push Dienst. Was Aufgaben und Termine angeht, leistet Funambol ja schon gute Dienste

  5. Verschlüsselung ist Vertrauenssache, und gute Krypto lässt einen die Schlüssel selber machen, wie es zum Beispiel bei GPG für Email und OTR für Instant Messaging der Fall ist.

    Theoretisch richtig, in der Praxis leider kaum verbreitet und falls vorhanden, eher kompliziert.

  6. Theoretisch richtig, in der Praxis leider kaum verbreitet und falls vorhanden, eher kompliziert.

    Off-the-Record ist kinderleicht einzurichten. Klar, man kann dann nicht mehr seinen quitsche-bunten ICQ-Client nutzen, sondern braucht Pidgin. Aber das nehme ich gerne in Kauf, wenn ich Meldungen wie diese lese.

  7. Off-the-Record ist kinderleicht einzurichten. Klar, man kann dann nicht mehr seinen quitsche-bunten ICQ-Client nutzen, sondern braucht Pidgin.

    Es gibt auch vernueftige Messanger die OTR beherschen (Kopete, Miranda, …)*

    *Achtung dieser Beitrag enthaelt eine Meinung.

  8. It is perfect time to make some plans for the future and it is time to be happy. I’ve read this post and if I could I want to suggest you some interesting things or advice. Maybe you can write next articles referring to this article. I want to read more things about it!
    d3 gold http://www.d3boy.com

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.