Onion-Router bringt Überwacher zum Weinen
"PrivaSEC forte" kommt wie eine Packung Halstabletten daher, die aber ein USB-Dongle enthält und ein paar hundert weltweite TOR-Server, die multipel verschlüsseltes "Zwiebelschalen-Routing" praktizieren. Das Ganze ist ein nicht an Gewinn orientiertes Service der Wirtschaftskammer, das über die IT-Consultants Kunden wie Rechtsanwälte, Ärzte und Journalisten erreichen soll.
"Verwenden Sie PrivaSEC forte auf keinen Fall, wenn Sie Wert auf die externe Nachvollziehbarkeit bestimmter Internet-Kontakte legen", heißt es in der Gebrauchsinformation.
Ebenso kontradindiziert ist die Anwendung bei Personen, die "dem Artikel 19 der Allgemeinen Deklaration der Menschenrechte über die Informationsfreiheit" oder auch dem "Gebot der Achtung der Privatsphäre geringe bis keine Bedeutung beimessen".
Fragen zu PrivaSEC, das wie eine Packung Halstabletten aussieht, beantworten denn auch nicht Arzt, Apotheker oder ein Naturtherapeut, der auf die pilzhemmende und antibakterielle Heilkraft der Zwiebel setzt, sondern die Fachgruppe Unternehmensberatung und Informationstechnologie (UBIT) und die IT-Security Experts Group der Wirtschaftskammer (WKÖ) Wien.
TOR-Netz am E-Day
Das neue Service wird am alljährlichen E-Day der WKÖ am Donnerstag öffentlich gemacht. "Beim diesjährigen 10. E-Day möchten wir Ihr Interesse für neue Arten der Vernetzung durch IT wecken", sagte WKÖ-Chef Christoph Leitl.
- Die Fachgruppe UBIT
- Die "üblichen Verdächtigen" in Deutschland, CCC
Wirkstoff via USB
Der "Wirkstoff" nennt sich "Browser für TOR-Netzwerke", das Päckchen selbst enthält einen USB-Stick, wenn man genauer hinsieht, sind obendrein drei Server der WKÖ drinnen, Onion-Routing über Hunderte Server rund um den Globus, also jede Menge Zwiebel.
Auch wenn das Akronym insgesamt nicht eindeutig belegt ist, so stehen "O" und "R" jedenfalls für "Onion-Routing". Man folgt dabei dem Aufbau der Zwiebelschale, indem jede Station der Route von TCP/IP-Paketen im weltweiten TOR-Netz separat verschlüsselt wird.
Windows, Mac, Linux
"Wir haben ordentliche Maschinen mit entsprechender Leistung aufgestellt, ausschließlich dedizierte Server", sagte UBIT-Obmann Friedrich Kofler am Montag zu ORF.at, "sie stehen bei kleinen und mittleren Betreibern im Wiener Raum."
Zusammen mit der IT-Security Experts Experts Group wurde dazu ein Firefox-Browser adaptiert, der sowohl auf Windows als auch auf Mac sowie auf den gängigen Linuxdistributionen funktioniert.
Der Firefox vom USB-Stick handelt mit einem Rechner des weltweiten Servernetzes einen Schlüssel aus, holt sich die Liste aller momentan verfügbaren TOR-Knoten und wählt eine Zufallsroute zur Zielwebsite über mindestens drei TOR-Rechner aus.
Schon beim zweiten ist (verkürzt gesagt) keine Information über die ursprüngliche IP-Adresse vorhanden, dann wird man zum nächsten TOR-Server durchgereicht.
Keine Spuren
Der Ansatz, Internet-Verkehrsdaten (teilweise bzw. für bestimmte Übertragungsstrecken) zu anonymisieren, wird bereits seit Jahren praktiziert. Allerdings war er bis vor nicht allzu langer Zeit in der Domäne der "üblichen Verdächtigen" angesiedelt: bei der Electronic Frontier Foundation in den USA zum Beispiel.
Der österreichische Suchmaschinenpionier der 90er Jahre, Walter Karban, betreibt seit gut einem Jahr das Service Notraxx.net, das ganz ähnlich funktioniert und gegen eine moderate Jahresgebühr ebenso im weltweiten TOR-Netzwerk funktioniert.
Vorratsdatenspeicherung
Jedesmal werden dabei neue Schlüssel ausgehandelt, die wiederum nur bis zum nächsten Knoten gültig sind. Keiner der Rechner, die über aller Herren Länder verteilt sind, verfügt über genug Informationen, um die Route nachzuvollziehen.
Der großräumige Einsatz derartiger Anonymisierungsnetzwerke würde jedenfalls die bevorstehende Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung direkt konterkarieren. Bekanntlich sollen Verkehrsdaten wie temporäre IP-Adressen in Zukunft ein halbes Jahr lang gespeichert werden müssen, wenigstens war das der Status quo unter der Regierung Gusenbauer.
Sicherheitspolizeigesetz
"Vorratsdatenspeicherung oder das Sicherheitspolizeigesetz waren durchaus die Ausgangspunkte für das Projekt", sagt Kofler. Bekanntlich seien die Abfragen von IP-Adressen ohne Einschaltung eines Gerichts unter dem Titel "Gefahr im Verzug" seit Inkrafttreten des Sicherheitspolizeigesetzes sprunghaft gestiegen.
Die IT-Fachleute der Fachgruppe seien sich der immer prekärer werdenden Situation beim Datenschutz durchwegs bewusst, so Kofler, nur scheue man sich noch, das auch entsprechend zu äußern. Klar sei, dass verfassungsmäßige Rechte systematisch durchlöchert würden und man seitens der Politik und Gesellschaft nur allzu bereit sei, ein Recht nach dem anderen aufzugeben.
Eine parlamentarische Anfrage der Grünen vom Jänner zeigte, dass vom 1. Jänner bis zum 30. September 2008 insgesamt 4.665 Auskunftsverlangen zu Namen, Anschrift und Teilnehmernummer eines bestimmten Telefonanschlusses gemäß SPG an die Provider gestellt wurden . Allein im Juli 2008 hat die Polizei demnach 512 Abfragen von Internet-Nutzer-Stammdaten und Handynutzer-Positionsdaten getätigt.
"Nichts zu verbergen"
Viele Kollegen hielten mit ihrer Meinung bis jetzt nur deshalb hinter dem Berg, weil sie befürchteten, so Kofler weiter, sich mit derartigen Äußerungen abseits "des gesellschaftlichen Mainstreams zu stellen". Abseits jener, die stets eilfertig versicherten, selbst "nichts zu verbergen" zu haben.
Im Falle von sensiblen Kundendaten liegt das freilich etwas anders, denn hier gibt es eine Berufspflicht, diese zu verbergen. Der typische Benutzer des Anonymisierungsdienstes sei zum Beispiel die "kleine Rechtsanwaltskanzlei, die ich als Unternehmer betreue", sagte Martin Prager, Sprecher der Security Experts Group, zu ORF.at.
Beratungsresistenz, Berufsgruppen
Wenn dieser Anwalt nun im Interesse seines Klienten darauf achte, dass seine Recherchen und Kontakte für niemand Dritten nachvollziehbar würden, so sei das im Grunde eine Selbstverständlichkeit.
Manche Berufsgruppen seien noch etwas "beratungsresistent" in Sachen Datenschutz, so Prager, um dem Diskurs auf die Sprünge zu helfen, habe man die Aktion PrivaSEC forte begonnen.
Weniger, um damit Geld zu verdienen, vielmehr, um "welches in die Hand zu nehmen", sagt Kofler, nämlich um Dongles und TOR-Netzwerk den UBIT-Mitgliedern gratis zur Verfügung zu stellen.
Weitergabe erwünscht
Anders als bei ärztlich verschriebenen Medikamenten ist die Weitergabe von PrivaSEC forte ausdrücklich erwünscht, denn das eigentliche Ziel der Aktion sind die Kunden der IT-Berater.
Hier will man mit der Aktion mehr Bewusstsein für die zunehmenden Risiken der Informationsgesellschaft schaffen und darlegen, mit welch vergleichsweise einfachen Mitteln österreichische KMUs ihre Kommunikation ein paar Grade sicherer machen können.
Möglicher Missbrauch
Und was passiert, wenn jemand PrivaSEC missbraucht, wie es bei TOR-Systemen nun einmal möglich ist, um - sagen wir - dezidiert illegale Inhalte herunterzuladen?
"Wir werden gesetzeskonform agieren", sagen Kofler und Prager fast gleichzeitig, Letzterer meint: "Erst wird hinterfragt, wer die Frage nach den Verkehrsdaten stellt und auf welcher rechtlichen Grundlage das passiert. Mit Sicherheit werden wir nicht Polizei spielen."
Die Gesetzeslage
Die Gesetzeslage habe man gründlich geprüft, und wenn die Forderung rechtlich begründet sei, werde man die Verkehrsdaten natürlich herausgeben, sagt Kofler.
Ebenso wie nach Inkrafttreten der Vorratsdatenspeicherung auch die Verkehrsdaten der TOR-Server sechs Monate lang gespeichert werden müssten.
Was gespeichert wird
Die Verkehrsdaten der von der WKÖ aufgestellten drei Rechner, die alsbald Bestandteil des weltweiten TOR-Netzwerks sind, werden dann in erster Linie die IP-Adressen anderer TOR-Server sein, über die irgendein Unbekannter irgendwo auf der Welt irgendeine andere IP-Adresse abgerufen hat.
Der Umstand, dass es neben Ärzten, Therapeuten und Rechtsanwälten auch noch andere Berufsgruppen gibt, die etwas zu verbergen haben - nämlich sensible Daten ihrer Patienten bzw. Klienten -, führte zur letzten Frage.
Wer was zu verbergen hat
Was ist mit Journalisten, die vertrauliche Informationen erhalten und von Berufs wegen nicht etwa das Recht darauf haben, sondern verpflichtet sind, die Quelle dieser Informationen geheim zu halten?
Zu diesem Zeitpunkt des Gesprächs schnappte leider die Höflichkeitsfalle ein. Die Herren Berater blickten einander an und ließen sich nicht mehr als ein feinsinniges Lächeln entlocken.
(futurezone/Erich Moechel)