×

«Terroristen finden immer einen Weg»

«Terroristen finden immer einen Weg»

Seit Freitag gilt das neue Nachrichtendienstgesetz: Jan Schilliger, Mitgründer eines Ustermer Start-ups im Bereich Datensicherheit, warnt vor Massenüberwachung. Im Interview schildert er, wie viel Macht der Nachrichtendienst jetzt hat und wie man trotzdem anonym surft.

Jörg
Marquardt
Samstag, 02. September 2017, 13:25 Uhr

Sie sind Experten fürs digitale Unsichtbarwerden: Fünf ETH-Studenten haben mit «Snowhaze» (engl. für «Schneegestöber») einen Browser entwickelt, der die Spuren des Nutzers im Internet zum Verschwinden bringt. Einer von ihnen ist Jan Schilliger. Der 23-jährige Maschinenbaustudent hat die Arbeit an der App von seiner Ustermer WG aus vorangetrieben. Zusammen mit seinen beiden Mitbewohnern und zwei befreundeten Informatikstudenten gründete er die Illotros GmbH und lancierte im Juli 2016 die erste Version von Snowhaze (wir berichteten). Jetzt, gut ein Jahr später, kommt die Version 2.0 in den App-Store. Mit ein Treiber für die Weiterentwicklung ist das neue Nachrichtendienstgesetz (NDG), das seit dem 1. September gilt. Für Schilliger steht fest: Die Massenüberwachung hat Einzug gehalten.

Leiden Sie unter Verfolgungswahn, Herr Schilliger?
Jan Schilliger: Ich leide nur insofern darunter, als mir bewusst ist, dass grosse Firmen mein Surfverhalten im Internet umfassend aufzeichnen. Die Telefon- und Internetanbieter sind per Gesetz dazu verpflichtet. Seit gestern darf der Nachrichtendienst nun auch den gesamten Internetverkehr, der über die Grenze geht, überwachen.

Vor einem Jahr warnten Sie vor der Allmacht der Konzerne. Jetzt haben Sie einen neuen Feind ausgemacht: den Staat. Was ist da los?
Damals hatte der Nachrichtendienst noch keine Befugnis, den Internetverkehr von jeder Person zu überwachen – mit dem neuen NDG aber schon. Das macht den Staat nicht zu unserem Feind. Wir haben auch generell nichts gegen die Überwachung terroristischer Aktivitäten im Netz. Aber wir sind gegen die Art von Überwachung, die alle Bürger zum Ziel hat.

Wenn man Ihre Medienmitteilung liest, könnte man meinen, der Überwachungsstaat sei Realität geworden.
Das ist keine Übertreibung. Im Prinzip kann durch das neue NDG  der gesamte Internetverkehr überwacht werden, weil sich technisch gar nicht verhindern lässt, dass der Datentransfer über die Grenze läuft. Viele Schweizer Webseiten sind im Ausland gehostet. Hinzu kommen weitere tief greifende Massnahmen wie das direkte Eindringen in einen Computer oder das Abhören von Telefonen. Darüber kann der Nachrichtendienst de facto selber entscheiden.

Wirklich? Er ist doch auf die Bewilligung der Informationsbeschaffung durch drei Instanzen angewiesen: durch das Bundesverwaltungsgericht, den Sicherheitsausschuss des Bundesrats und den Chef des VBS.
Es stimmt zwar: Der Nachrichtendienst muss die Massnahmen beantragen. Aber wenn er geltend macht, dass es sich um einen dringlichen Fall handelt, kann der Antrag auch im Nachhinein gestellt werden. Nur ist nirgendwo klar definiert, was «dringlich» ist und was nicht. Die überwachten Personen haben keinerlei Rekurs- und Einsichtsmöglichkeiten.

Das neue Nachrichtendienstgesetz
Am 1. September ist das neue Nachrichtendienstgesetz (NDG) in Kraft getreten. Die Schweizer Stimmberechtigten hatten es am 25. September 2016 mit 65,5 gegen 34,5 Prozent angenommen. Bundesrat und Parlament empfahlen das Gesetz zur Annahme.
Mit dem NDG erhält der Nachrichtendienst des Bundes (NDB)unter anderem die Erlaubnis, den Internetverkehr ins Ausland zu überwachen. Dazu erfasst er die Kommunikation über Glasfaserkabel und sucht die Datenströme nach bestimmten Stichwörtern ab. Bei einem Treffer wird die Kommunikation vertieft ausgewertet.
Begründet wurde das NDG mit der Notwendigkeit, eine Antwort auf Cyberkriminalität zu finden und den Wirtschafts- und Finanzplatz Schweiz effektiver zu schützen. Die Organisation Digitale Gesellschaft sieht im NDG eine Umkehrung der Beweislast für gegeben, wodurch jeder Bürger pauschal verdächtigt werde. Sie will das NDG weiter bekämpfen und Beschwerde gegen die Kabelaufklärung beim NDB einlegen.

Was heisst das konkret?
Es gibt jahrelange Sperrfristen. Der Nachrichtendienst kann sich drei bis zum Teil zwanzig Jahre Zeit lassen, um Anfragen zu beantworten. Aber nach so langer Zeit erübrigt sich ein Rekurs, dann ist der Schaden angerichtet. So entsteht eine Paralleljustiz, wo wir darauf vertrauen müssen, dass die Massnahmen angemessen sind. Im Fichen-Skandal haben wir gesehen, wohin eine solche Praxis führen kann.

Was befürchten Sie?
Ich bin überzeugt, dass man durch suggestive Wortwahl praktisch jeden Fall durchwinken kann, gerade in Zeiten des Terrors. Da ist auch viel Psychologie im Spiel. Wenn neun von zehn Personen zustimmen, wird die zehnte Person vermutlich auch zustimmen. Und wenn der Chef vom Nachrichtendienst sein Okay gibt, werden die drei Kontrollinstanzen wohl kaum dagegen votieren und das Risiko eingehen, einen möglichen Anschlag nicht verhindert zu haben.

«Durch suggestive Wortwahl kann man praktisch jeden Fall durchwinken.»

In einer Weisung heisst es: «Das NDG ermöglicht, die Sicherheit der Schweiz zu erhöhen und wichtige Landesinteressen zu wahren.» Ist Ihnen die Sicherheit der Schweiz egal?
Absolut nicht. Aber Sätze wie dieser sind bewusst schwammig formuliert, dass jeder zustimmen würde. Die Frage ist doch eher, welche Schlussfolgerungen zieht man aus einer Bedrohungslage. Anstatt die gesamten Ressourcen darauf zu verwenden, möglichst alle Bürger zu überwachen, würde ich einen anderen Weg einschlagen.

Welchen?
Man sollte die besten Leute anstellen und sie mit den besten Technologien ausrüsten, um ganz gezielt die Gefährder zu überwachen.
Was heisst das für die Bürger?

Sie sollten sich überlegen, ob sie dem Nachrichtendienst ihren gesamten Datenverkehr anvertrauen oder sich dagegen schützen wollen. Schon die aktuelle Position meines Handys oder die Zeiten, die Dauer und die Nummern meiner Telefongespräche verraten wahnsinnig viel über mich.

«Die Bürger sollten sich überlegen, ob sie dem Nachrichtendienst ihren Datenverkehr anvertrauen wollen.»

In der Weisung zum NDG heisst es weiter: «Das NDG wahrt die individuelle Freiheit der Schweizer Bürger. Eingriffe in die Privatsphäre erfolgen mit grösster Zurückhaltung.» Wurden die Stimmbürger in die Irre geführt?
Aus meiner Sicht schon. Die Freiheit des Einzelnen und seine Privatsphäre werden zugunsten von Sicherheitserwägungen stark begrenzt. Natürlich muss man immer einen Kompromiss zwischen Freiheit und Sicherheit anstreben. Straftäter, die eine Gefahr für die Öffentlichkeit darstellen, werden schliesslich auch wegsperrt und in ihrer Freiheit eingeschränkt. Aber das neue Gesetz geht eindeutig zu weit.

Ist Ihre Haltung nicht leichtsinnig und naiv?
Nein, denn das neue NDG bietet gar keine zusätzliche Sicherheit. Terroristen werden immer einen Weg an den Nachrichtendiensten vorbei finden. Die USA und Grossbritannien sammeln praktisch alles, was sie kriegen können – trotzdem sind dort Anschläge verübt worden. Aber es gibt ein weiteres Problem.

«Die Datensätze können geleakt werden.»

Und das wäre?
Die Frage ist, was mit unseren Daten passiert. Sie werden von privaten Firmen gespeichert, auf irgendwelchen Servern, in irgendeinem Land, vermutlich verschlüsselt, aber man weiss es nicht genau. Diese Datensätze können geleakt werden.

Sie befürchten, der Staat könne die Kontrolle über unsere Daten nicht gewährleisten?
Absolut. Immerhin ist beim Nachrichtendienst bereits Datendiebstahl vorgekommen: Ein Externer hat sich dort Zutritt verschafft, seine Festplatte an einen Computer angeschlossen und Daten kopiert. Man denke auch an die zigtausend Datensätze, die nach einem Cyber-Angriff auf die Ruag im letzten Jahr geleakt worden sind. Die Frage ist nicht, ob ein Leak passiert, sondern nur wann. Daher sollten wir uns Gedanken über die Verschlüsselung unserer Daten machen.

Hier kommt «Snowhaze 2.0» ins Spiel. Betreiben Sie damit nur Schadensbegrenzung?
Nein. Wer unseren Browser nutzt, kann verhindern, dass ihm überhaupt ein Schaden entsteht. Mit Snowhaze machen wir Technologien zugänglich, die schon länger verwendet werden, aber in der Anwendung bisher zu umständlich waren. So kann sich jedermann ganz einfach gegen Massenüberwachung schützen. Zudem bieten wir Schutz vor Angriffen im öffentlichen W-Lan, so dass sich kein Dritter in den Datenverkehr zwischenschalten und Log-in-Informationen stehlen kann.

So funktioniert «Snowhaze»
Bei «Snowhaze» handelt es sich um einen Private Browser für iPhone und iPad, der sich von der Bedienung her nicht vom Standard-Browser Safari unterscheidet. Schon die erste Version sorgt dafür, dass der Nutzer nicht mehr «getrackt» werden kann, sprich: dass seine Wege im Internet nicht mehr von Dritten nachvollziehbar sind. Dazu löscht die App alle Webseitendaten, blockiert alle Arten von Tracking-Skripts und verhindert Browser Fingerprinting.
In der Version 2.0, die seit 1. September im App-Store verfügbar ist, hat Snowhaze neu einen VPN-Service, der den Datenverkehr erst verschlüsselt an einen Server weiterleitet, bevor die Daten an die gewünschte Webseite gelangen.
Dank dieser Umleitung wird die wahre IP-Adresse des Nutzers verschleiert. Dadurch kann die Webseite die Herkunft und der Internetanbieter die Destination nicht erkennen. Der Nachrichtendienst kennt je nach Standort des VPN-Servers nur den Absender oder den Empfänger.
Zudem bietet Snowhaze einen zweistufigen Phishing-Schutz.
Weitere Informationen hier.


Sabotieren Sie damit nicht die Arbeit des Nachrichtendiensts?
Eben nicht. Wir nutzen etablierte Technologien, die völlig legal sind. Snowhaze reduziert nur die Menge an Daten, die der Nachrichtendienst abfangen könnte.

Was ist neu gegenüber der ersten Version?
In der Erstversion war die IP-Adresse der Nutzer immer noch sichtbar. Man braucht sie, um überhaupt Datenpakete zu bekommen. Jetzt wird der Datenverkehr zwischen dem Gerät und einem VPN-Server im Ausland zunächst verschlüsselt, bevor er an die angewählte Webseite gelangt. Dort kann dann die Herkunft der Anfrage nicht mehr nachvollzogen werden.

Davon profitieren am Ende doch auch Terroristen und Kriminelle, oder?
Wenn ich vollständig anonym bleiben wollte, würde ich nicht Snowhaze nutzen, sondern das Open-Source-Betriebssystem Tails zusammen mit dem Tor-Browser. Und dann würde ich mich auch nicht von zu Hause ins Internet einwählen, sondern mit aufgezogener Kapuze im Internet-Café. Bei Snowhaze weiss mein Internetanbieter immer noch, dass ich mich mit einem VPN-Server verbinde und um wie viel Uhr ich das tue. Wohin meine Anfrage geht, wird dann aber verschleiert – ebenso wie der Inhalt.

«Ich würde mich mit aufgezogener Kapuze im Internetcafé einwählen.»

Bietet Snowhaze also im Vergleich nur Datenschutz light?
Auf keinen Fall. Der Nachrichtendienst könnte, wie gesagt, nur mit grossem Aufwand den Verlauf der Anfrage rekonstruieren. Aber der Inhalt der Daten ist für ihn nicht entschlüsselbar. Tails und Tor verwenden die gleiche Verschlüsselungstechnologie. Der Unterschied zu Snowhaze besteht darin, dass der Datenverkehr erstens über einen wildfremden Computer laufen kann und zweitens über gleich drei Server weitergeleitet wird.

Haben Sie den Eindruck, dass die Bürger in Sachen Datenschutz inzwischen sensibler geworden sind?
Sensibler schon, aber der Wille, aktiv etwas zu unternehmen, ist noch gering. Die Leute sind nicht zu Einschnitten im Nutzerverhalten bereit. Daher wollen wir mit Snowhaze dafür sorgen, dass man seine Daten mit einfachen Mitteln schützen kann. Die Benutzerfreundlichkeit steht dabei im Vordergrund.

«Die Leute sind nicht zu Einschnitten im Nutzerverhalten bereit.»

Vor einem Jahr sagten Sie, dass Konzerne noch nicht imstande seien, aus den gesammelten Daten aussagekräftige Persönlichkeitsprofile zu erstellen. Gilt das noch?
Im letzten US-Wahlkampf hat das Trump-Lager die Datenanalysefirma Cambridge Analytica aus London engagiert. Allein anhand von «Likes» erstellte sie sehr genaue Persönlichkeitsprofile. So war es möglich, unentschiedene Wähler herauszufiltern. Mithilfe statistischer Methoden wurden diese dann je nach Alter, Geschlecht und anderer Kriterien persönlich angesprochen, um sie von Trump zu überzeugen. Das Zusammenspiel von maschinenbasiertem Lernen auf Basis von Feedbacks und statistischen Methoden wird immer mehr verfeinert.

Wie steht es um Ihr Fernziel, dass Kunden über Snowhaze Ihre eigenen Daten monetarisieren können?
Einige Unternehmen haben sich an Plattformen versucht, auf der User selbstständig und selektiv ihre Daten verkaufen können. Bisher sind alle diese Projekte gescheitert. Der Werbemarkt im Netz ist zwar insgesamt milliardenschwer, aber runtergebrochen auf den einzelnen Nutzer sind die Datensätze nur wenige Dollar wert. Wir haben schon eine Idee, wie man es anders machen kann, aber das ist ein 20-Millionen-Projekt (lacht). Für uns ist das Wichtigste, dass der Datenverkauf auf freiwilliger Basis geschieht und der Kunde jederzeit kontrollieren kann, was mit wem geteilt wird.

«Der Werbemarkt im Netz ist milliardenschwer.»

Was kommt nach der aktuellen Version 2.0?
Der nächste logische Schritt wäre, dass man die im Netz vorhandenen Daten über die eigene Person gezielt verändern kann. Dadurch würde man die Daten schlussendlich demokratisieren.

Sie leisten einen Beitrag zur Demokratie?
Nicht im politische Sinne. Wir wollen, dass die Nutzer die Kontrolle über die eigenen Daten zurückerlangen. Nur so können wir die Konzerne an den Verhandlungstisch zwingen und mit ihnen auf Augenhöhe darüber diskutieren, was mit unseren Daten passieren soll. Wir dürfen nicht vergessen: Viele Dienste, die wir heute nutzen, funktionieren nur, weil wahnsinnig viele Daten gesammelt werden. Darauf will niemand mehr verzichten – zu Recht. Deswegen braucht es eine faire Lösung.

Und was kann jeder Einzelne von uns tun, solange die Konzerne nicht einlenken?
Bis es soweit ist, sollten wir uns mithilfe von Technologie so ausrüsten, dass wir aus der Position der Schwäche herauskommen.

 

Kommentar schreiben

Kommentar senden