In vielen Ländern essentiell zum Schutz vor repressiven Regierungen - Vorreiterrolle für Freie Software?
Seine Keynote bei der Linux-Desktop-Konferenz GUADEC hat der beim "Comittee to Protect Journalists" (CPJ) tätige Danny O'Brien für ein eindringliches Plädoyer in Richtung eines verstärkten Fokus auf Verschlüsselungstechnologien genutzt. Man müsse begreifen, dass Fragestellungen wie Freiheit und Sicherheit für viele Menschen auf der Welt keine bloß theoretischen Gedankenexperimente sind, sondern aus einer alltäglichen Repressionserfahrung resultieren.
JournalistInnen
Bereits rund 50 Prozent aller verfolgter JournalistInnen seien im Online-Bereich tätig, eine bedeutender Teil davon längst nicht mehr für die klassischen Medienkonzerne aktiv. Wie aktuelle Proteste gezeigt hätten, seien es gerade diese, die besonders nah an die Geschehnisse herankommen - und entsprechend gefährdet sind. Insofern müssen man diesen die nötigen Tools an die Hand geben, um sich selbst vor Repression schützen zu können.
Beispiele
Wie geschickt die staatlichen Repressionsorgane dabei bereits agieren, erläuterte Kuhn unter anderem anhand der sogenannten "Pam Bourdon"-Mails, einer Affäre, die vergangen Herbst für einige Aufregung gesorgt hatte. Dabei waren ein ein scheinbar harmloses Mail an eine äußerst gezielt ausgewählte Liste von Auslandskorrespondenten in China verschickt worden. Darin enthalten die Bitte einer vermeintlichen Kollegin, ihr bei der Organisation einiger Interviews zu helfen. Angehängt an das Mail ein PDF, in dem sich eigentlich die Liste der gewünschten Kontakte befinden sollte, das darüber hinaus aber noch ein spezielle Überraschung bereithielt: Einen Trojaner, der über einen Zero-Day-Exploit - also eine bis dahin unbekannte Lücke - im Adobe Reader auf dem betroffenen Rechner installiert wurde - und diesen in Folge ausspionierte.
VPSKeys
Ein weiteres aktuelles Beispiel ist die sogenannte VPSKeys-Attacke: Bei VPSKeys handelt es sich um ein Freeware-Programm für Windows, das vietnamesischen UserInnen die Texteingabe erleichtert - und sich entsprechend in dem Land hoher Popularität erfreut. Wie sich im Frühjahr dann zeigte, ist es offenbar Unbekannten gelungen die zugehörige Webseite zu knacken und eine modifizierte Variante der Software einzuschmuggeln. So wanderte mit der Installation des Tastatur-Treibers denn auch gleich ein Trojaner mit auf die Platte, der aus den infizierten Rechnern kurzerhand ein Botnet aufbaute, das Ziel: Distributed-Denial-of-Service-Attacken auf Gegner der vietnamesischen Regierung, um diese im Fall des Falles in die Knie zu zwingen.
Piraterie als Vorwand
Wie schnell sich ein Vorwand für die Beschlagnahme ganzer Rechner finden lässt, demonstrierte zudem vor einigen Monaten das Regime in Kirgistan: Das Redaktionsgeheimnis einiger Zeitungen und TV-Stationen umging man kurzerhand, in dem man unter dem Vorwand des angeblichen Einsatzes von nicht lizenzierten Microsoft-Programmen Hausdurchsuchungen durchführte, und zur Beweissicherung kurzerhand alle Rechner beschlagnahmte - samt all den Informationen über Quellen und Recherchen, um die es hier wohl wirklich ging. Überhaupt sieht es O'Brien als einen aktuellen Trend, dass Regierungen solche "Schmutzarbeit" von ihren Finanzbehörden durchführen lassen. Dies da sich hier meist recht schnell ein vermeintlich nachvollziehbarer Vorwand finden lässt.
Gegenmaßnahmen
Eine Bedrohungssituation, der man - unter anderem - mit besseren Tools begegnen solle, der freien Softwarebewegung mit ihrem traditionellen Fokus auf die Wahrung der Meinungsfreiheit, komme hier eine besondere Verantwortung zu. Bei den konkreten Lösungsvorschlägen beschränkte sich O'Brien im Rahmen seines Vortrags vor allem auf einen Bereich: Die Verschlüsselung von Daten.
Default
Wo irgend möglich sollten Datenströme immer verschlüsselt übertragen werden, dies würde es einer repressiven Staatlichkeit erheblich erschweren ihre Überwachungs- und Zensurmaßnahmen zu entfalten. Als ein Beispiel nannte er die "Great Firewall of China", wo im Auftrag der Regierung der gesamte Datenverkehr nach "verdächtigen" Stichwörtern untersucht wird - und im Fall des Falles die Verbindung einfach getrennt wird. So etwas wäre mit vollständiger Verschlüsselung nicht so einfach möglich. Auch das Beispiel aus Kirgistan zeige die Wichtigkeit dieser Thematik, mit verschlüsselten Festplatten blieben die Recherchen und Kontakte selbst im Falle der Beschlagnahme im Dunkeln.
Grundlegend
Um den Anwendungs-EntwicklerInnen die Nutzung von Verschlüsselung möglichst einfach zu machen, sollten entsprechende - und einfach zu nutzende - Sicherheits-APIs (Programmierschnittstellen) also Bestandteil der Plattform sein. Gerade der freie Desktop habe hier die Chance eine Vorreiterrolle einzunehmen, dann könnte man gefährdeten Gruppen auch schnell sagen - benutze diesen Desktop oder jenes Programm und dann bist du sicher.
Appell
Besondere Bedeutung kommt diesem Thema aber laut O'Brien auch noch aus einem weiteren Grund zu, und zwar wegen der Herausforderungen, die sich mit der verstärkten Web-Nutzung für die Wahrung der eigenen Privatsphäre stellen. "Der Desktop ist das Zentrum des Vertrauens" fasst der zuvor jahrelang bei der Bürgerrechts-Organisation EFF (Electronic Frontier Foundation) tätige Aktivist seine Herangehensweise in Worte. Es sei eben der eigene Desktop und nicht der von Mark Zuckerberg oder Steve Ballmer - ein Ort der Selbstbestimmung, der entsprechend Ausgangspunkt für ein sicheres System sein muss. (Andreas Proschofsky, derStandard.at, 30.07.10)
