Auf der morgen in Berlin startenden re:publica wird Morgan Marquis-Boire über „Fear and Loathing on the Internet: The Surveillance Landscape & Coercion Resistant Design“ sprechen. Wir haben vorab ein kleines Interview mit ihm geführt.

netzpolitik.org: Morgan, wer bist du und was machst du?

Morgan Marquis-Boire: Ich heiße Morgan Marquis-Boire und arbeite an der Schnittstelle zwischen Menschenrechten, digitalen Medien und Sicherheit. Während der letzten Jahre hat sich meine Arbeit auf die Analyse technischer Methoden von Online-Überwachung und die Untersuchung deren realen Wirkungen auf risikoreiche Benutzergruppen wie Journalisten, Aktivisten und Dissidenten konzentriert.

netzpolitik.org: Du hast Überwachungssoftware analysiert. Was hast du gefunden? Und du hast einen „kommerziellen Markt für offensive digitale Fähigkeiten“ erwähnt. Wie groß ist der?

Morgan Marquis-Boire: Während Hacking als Methode zur Datensammlung schon seit den Anfängen des Internets existiert, kam es in den letzten Jahren zum Aufstieg einer Industrie, die kommerzielle Einbruchs- und Schadsoftware als rechtmäßige Überwachungsprodukte anbietet.

Wie in diesem Zitat aus dem New York Times Artikel „Software Meant to Fight Crime Is Used to Spy on Dissidents“ ausgedrückt:

„Der Markt für solche Technologien wuchs von „nichts vor 10 Jahren“ auf fünf Millarden Dollar, wie Jerry Lucas sagt, Präsident von TeleStrategies, der Firma hinter ISS World, der jährlichen Überwachungsshow wo sich Strafverfolgungsbehörden die neueste Computer-Spionagesoftware ansehen.“

Früher hatten nur wenige Nationen die Möglichkeit, kommerzielle Überwachungswerkzeuge zu kaufen, heutzutage werden diese weltweit für einen Betrag angeboten, die sich jeder Diktator aus der Portokasse leisten kann. Während die Technologien als Möglichkeit der rechtmäßigen Telekommunikationsabhörung angepriesen werden, werden sie in Ländern, in denen kriminelle Aktivitäten sehr weit gefasst sind oder abweichende Meinungen kriminalisiert werden, als Werkzeug zur Unterdrückung benutzt.

netzpolitik.org: Wie können „Entwickler Werkzeuge und Dienste schaffen, die stärker gegen Überwachung resistent sind“?

Morgan Marquis-Boire: Die bedeutende gegenwärtige, öffentliche Debatte dreht sich um Regierungszugriff auf Benutzerdaten. Hochgeheime Dokumente enthüllten die Existenz eines Programms, bekannt als PRISM, welches die Massenüberwachung der Nutzer von Google, Facebook, Yahoo und anderen Silicon-Valley-Firmen ermöglichte. Es kam zu einer erheblichen Verwirrung hinsichtlich der technischen Mechanismen dieser Überwachung und verschiedenste dieser Mechanismen wurden diskutiert, vom weitverbreiteten Anzapfen von Austauschpunkten bis hin zur Erzwingung der Herausgabe von SSL-Schlüsseln.

Während die konkreten Details dieser Angelegenheit noch ans Licht kommen müssen, gab es mehr Details über die Art der FISA-Anfragen. Als ein Zusatz zu den technischen Datensammlungsmechanismen wurde über die Verwendung solcher FISA-Anordnungen, Benutzerdaten von Firmen unter Redeverbot zu erzwingen, ausführlich berichtet.

Die NSA ist nicht die einzige Regiergungsorganisation, die seit Kurzem im Rampenlicht steht, weil sie die Sicherheit derjenigen Firmen kompromittiert hat, die sie eigentlich schützen soll. Kürzlich wurde enthüllt, dass Microsoft während der Entwicklung der BitLock-Festplattenverschlüsselungssoftware wiederholt gebeten wurde, eine Hintertür für das FBI einzubauen.

Lavabit, ein sicherer E-Mail Anbieter, wurden vor Kurzem die erste Firma, die Forderungen der Regierung nach ihren SSL-Zertifikaten öffentlich machte. Die rechtliche Anordnung verpflichtete Lavabit dazu, die digitalen Schlüssel herauszugeben, welche die Eckpfeiler der für ihre Nutzer angebotenen Sicherheit darstellen. Der Besitz dieser Schlüssel würde der Regierung ermöglichen, verschlüsselte Kommunikation zu entschlüsseln und die Inhalte zukünftiger E-Mails zu bespitzeln.

An diesen Beispielen (und anderen, wie Skypes „Project Chess“) wird deutlich, dass die Möglichkeit, zur Verletzung des eigenen Sicherheitsmodell gezwungen zu werden, sehr real ist. Wir können das wie folgt formulieren:

„Mit wachsender Popularität deines Webdienstes geht die Wahrscheinlichkeit, dass du irgendwann dazu gewzungen wirst, dein Sicherheitsmodell preiszugeben, gegen 1.“

Von diesem Axiom ausgehend können wir feststellen, dass wir über unsere Sicherheitsmodelle nachdenken müssen um unsere Nutzer zu schützen. Diese Rede wird einige technische Maßnahmen beinhalten, die ergriffen werden können, um Sicherheit auf eine vernünftige, aber zwangresistente Weise zu ermöglichen.

netzpolitik.org: Wir haben von Snowden gelernt, dass jeder überwacht wird. Was ist der Unterschied zu deinem Forschungsgegenstand?

Morgan Marquis-Boire: Während ich daran gearbeitet habe herauszufinden, wo die Techniken zur Massenüberwachung eingesetzt werden, die US-Firmen verkaufen (und darüber werde ich ein bisschen sprechen), konzentrierte sich ein Großteil meiner Forschung auf Verkauf, Nutzung und Missbrauch sogenannter „Rechtmäßiger Abhörtechnologien“. Ungeachtet der von diesem Begriff implizierten Legitimität trifft das Konzept von „Rechtmäßiger Abhörung“ in Ländern nicht zu, wo keine Rechtsstaatlichkeit existiert. Mit der wachsenden Fähigkeit von Regimen, fortschrittliche Überwachungsmöglichkeiten von „Westlichen Ländern“ zu erwerben, wurde diese Technologie gezielt gegen Aktivisten, Journalisten, Dissidenten und Menschenrechtler angewendet.

Aus einer Untersuchung, welche die Nutzung von „Regierungs-Spähprogrammen“ gegen eine Gruppe von Aktivisiten aus dem Mittleren Osten während des „Arabischen Frühlings“ aufdeckte, wuchs ein ganzer Forschungskörper, der die Allgegenwärtigkeit von kommerzialisierter Überwachungssoftware aufzeigt. Obwohl unzweifelhaft legitime Anwendungen für gezielte Überwachung existieren, sind die historischen Missbräuche geheimer Überwachung vielfältig. Sind solche Aktivitäten undurchsichtig und die technologischen Möglichkeiten bleiben geheim, so fehlt den Bürgern das Wissen, den Umfang und die Art der Überwachung vollständig zu begreifen, und somit auch die Fähigkeit, diese anzufechten.

netzpolitik.org: Wird es Überraschungen in deiner Rede geben?

Darauf kannst du zählen.