STANDARD: Schützen Sie Ihre Kommunikation?

Matthias Spielkamp: Ich verschlüssele jetzt häufiger meine E-Mail-Kommunikation als früher. Das liegt daran, dass ich jetzt mehr Kommunikationspartner habe, die verschlüsseln. Dazu gehören aber immer zwei. Wenn nur ich in der Lage wäre, würde mir das nichts nützen, weil bei dem Verfahren beide mitmachen müssen. Ich habe schon 1999 mit einem PGP-Schlüssel (Pretty Good Privacy, Anm.) angefangen. Zum Einsatz kam er aber nur als Spielerei mit ein paar Freunden, aber nicht ernsthaft in der Kommunikation. Das hat sich geändert. Es sind jetzt erheblich mehr Mails als vor den Snowden-Enthüllungen.

STANDARD: Eine Konsequenz der Enthüllungen der großflächigen Überwachung?

Spielkamp: Nach Snowden sind es deutlich mehr geworden. Zum Beispiel hat die Geschäftsstelle von Reporter ohne Grenzen in Deutschland eine Schulung für ihre Mitarbeiter gemacht. Ich kann jetzt mit all ihren Mitarbeitern verschlüsselt kommunizieren.

STANDARD: Wann verschlüsseln Sie?

Spielkamp: Ich versuche mit allen, die dazu in der Lage sind, verschlüsselt zu kommunizieren. Damit meine ich den E-Mail-Verkehr. Daneben verschlüssele ich noch Teile meiner Festplatte, manchmal mache ich das auch bei meinem Surfverhalten. Hier mit Abstufungen, indem ich zum Beispiel Informationen vor Google fernhalte. Strafverfolgungsbehörden könnten das über meinen Provider immer noch sehen, würden sie gegen mich ermitteln. Ganz generell bin ich ein Verfechter, dass alle ihre Mails immer verschlüsseln sollten. E-Mails sind wie Postkarten. Alles kann gelesen werden. Nicht nur vom Bundesnachrichtendienst BND oder der NSA, sondern von jedem Provider, zu dem meine Daten fließen. Erst wenn ich verschlüssele, werden die Nachrichten nicht mehr im Klartext übermittelt. Das Bedrohungspotenzial wird von vielen noch als sehr gering eingeschätzt.

STANDARD: Warum?

Spielkamp: Dafür gibt es auch gute Gründe. Die Motivation der Telekom, Mails mitzulesen, ist gering. Das dürfen sie auch nicht, und wenn es rauskäme, würden sie in Schwierigkeiten kommen. Aber: Es geht eigentlich nur darum, seine Nachrichten in einen Umschlag zu stecken und den zuzukleben. Das würden Sie mit jedem Brief machen. Unternehmen verschicken Verträge per Einschreiben, aber parallel auch als pdf via E-Mail. Das ist paradox. Das ändert sich, denn Leute sehen, dass durch diese anlasslose Massenüberwachung tatsächlich auch versucht wird, diesen gesamten E-Mail-Verkehr abzufischen, um ihn zumindest einmal zu speichern, damit er später analysiert werden kann.

STANDARD: Trotzdem ist die Sensibilisierung noch auf einem niedrigen Niveau.

Spielkamp: Auf einem extrem niedrigen sogar, doch gleichzeitig schreitet sie voran. Ich kann nur ermahnen und daran erinnern, einseitig geht es nicht. Leute wie Jacob Appelbaum, der Sicherheitssoftware mitentwickelt und die Snowden-Dokumente für Medien mitanalysiert, antworten halt einfach nicht auf unverschlüsselte Mails. Viele Unternehmen oder Freiberufler können sich das aber nicht aussuchen. Im Alltag ist das meistens keine Option.

STANDARD: Wie kompliziert ist es für Laien?

Spielkamp: Meine Mutter könnte es nicht, und ich hätte große Schwierigkeiten, es ihr beizubringen. Ihnen könnte ich die Grundlagen der verschlüsselten E-Mail-Kommunikation in einer halben Stunde beibringen. Geheimwissenschaft ist es keine. Man kann dann natürlich die Komplexität immer weiter erhöhen, aber das ist on top. Ein einigermaßen routinierter Computerbenützer kann das verstehen.

STANDARD: Und ich würde es am nächsten Tag wieder schaffen?

Spielkamp: Wenn Sie es regelmäßig benutzen, dann schon. Die Entwickler solcher Sicherheitssoftware wissen selbst, dass die Usability die größte Herausforderung ist. Eine Grundkomplexität existiert, die kann man derzeit noch nicht verbannen. Die Programme sind in den letzten zehn Jahren aber immer besser geworden. Sie können per Knopfruck schauen, ob ein neuer Kommunikationspartner seinen Schlüssel auf einem öffentlichen Server hinterlegt hat. Der kann automatisch heruntergeladen werden, und es reicht ein Knopfdruck, um verschlüsselt kommunizieren zu können. Und für alle Systeme ist Free und Open-Source-Software verfügbar. Nur bei Apps für Smartphones bewegt es sich in der Größenordnung von ein, zwei Euro.

STANDARD: In Unternehmen gibt es Richtlinien, dass E-Mails nicht verschlüsselt werden dürfen. Was sollen Mitarbeiter machen?

Spielkamp: Das ist ein Problem. Hier geht es um Überwachung, also Dokumentationspflichten. Wer hat beispielsweise wann und mit wem welche Verträge abgeschlossen? Mitarbeiter könnten das für unrechtmäßige Zwecke nutzen. Die klügste Variante wäre, wenn es eine Hinterlegungspflicht für Schlüssel gäbe. Das heißt, dass die Mitarbeiter mit anderen Journalisten, mit Quellen nach außen verschlüsselt kommunizieren könnten und es im Unternehmen gesichert wäre. Solche Prozeduren zu implementieren kostet Geld und Ressourcen, davor schrecken viele zurück. Hier geht es nicht um Geld für die Software, die ist kostenlos, aber etwa um Schulungen für Mitarbeiter und Arbeitsabläufe. Wo werden die Schlüssel sicher hinterlegt? Wer hat Zugriff?

STANDARD: Sollten Firmen Geld dafür in die Hand nehmen?

Spielkamp: Ja, aber ich bin überrascht, wie wenig fruchtbar der Boden dafür ist und dass Kommunikationssicherheit in Unternehmen eine so geringe Rolle spielt. Vor allem weil wir auch wissen, dass Spionagetätigkeiten für Betriebsgeheimnisse eingesetzt werden. Und da ist die Ignoranz der Unternehmen einfach erstaunlich. Ganz besonders betroffen ist der Journalismus.

STANDARD: Warum?

Spielkamp: In vielen Ländern genießt der Journalismus – nicht ohne Grund – das Privileg des Quellenschutzes. Bei ungeschützter Kommunikation geben wir diesen Schutz auf, weil wir davon ausgehen müssen, dass Dienste unsere Kommunikation überwachen und auswerten. Hier geht es nicht nur um investigative Journalisten, sondern um die gesamte Kommunikation unter Journalisten, die geschützt sein sollte. Das gilt auch für Anwälte oder Buchprüfer. Die sind in Bezug auf Datenschutz aber häufig sensibler als Journalisten, das darf eigentlich nicht sein.

STANDARD: Sehen Sie Journalisten als primäre Zielscheibe von Überwachung?

Spielkamp: Wenn ich sage, dass Journalisten im großen Stil gezielt ausspioniert werden, mache ich mich unglaubwürdig. Das glaube ich nicht, sondern dass es in kleinem Ausmaß der Fall ist. In Deutschland wurde beispielsweise eine Journalisten unter Verfassungsbeobachtungsschutz gestellt. Rechtswidrig. Durch die Snowden-Enthüllungen wissen wir, dass nicht nur dort spioniert wird, wo ein Verdacht vorliegt, sondern dass ohne Anlass versucht wird, unsere gesamte Kommunikation zu überwachen. Das gelingt nicht immer, dennoch werden Milliarden Daten abgefischt und gespeichert. Das ist schon Überwachung. Ins Visier der Dienste kommt man bei Kontakt mit bestimmten Personen oder wenn gewisse Kommunikationsmuster Anlass geben, sich das genauer anzuschauen. Geheimdienste argumentieren, dass Datensammeln noch keine Überwachung ist, das ist falsch und eine Orwell'sche Wortklauberei. Bei Journalisten geht es um Quellenschutz, deswegen sollten sie sich besonders damit beschäftigen.

STANDARD: Auch wegen der Kooperation zwischen europäischen Geheimdiensten und der NSA?

Spielkamp: Die Kooperation ist mittlerweile ja schon ziemlich klar. Problematisch ist das Ringtauschprinzip. Wohlwollend gesagt machen die Dienste, was in ihrem Land erlaubt ist. Der Bundesnachrichtendienst hat etwa eine Vereinbarung mit dem GCHQ (Government Communications Headquarters, Anm.) in England, und die Daten werden hinterher getauscht. Was der GCHQ rausgefunden hat, stellt er dem BND zur Verfügung und umgekehrt. Das ist zwar nicht für jegliche Kommunikation erwiesen und erhärtet, klar ist aber, dass es passiert. Das ist das riesige Bedrohungspotenzial, und wir müssen davon ausgehen, dass auch die deutschen Dienste an Daten kommen, an die sie nicht kommen dürften. Man könnte sagen, dass sich der BND an das deutsche Gesetz beim Ausspionieren hält, aber macht er es dann noch, wenn er die Daten von der NSA zugespielt bekommt? Ich sage Nein.

STANDARD: Die sagen Ja.

Spielkamp: Das ist eine andere Sicht auf die Dinge. Der BND argumentiert, dass er nicht gegen das Gesetz verstößt, solange er diese Daten nicht selbst erhebt. Am Ende landen Daten bei ihnen, die sie eigentlich nicht haben dürften. Darum geht es. Kommen sie von der NSA, ist das auch ein Verstoß gegen das Gesetz. Das ist so, wie wenn ich sagte, dass ich jemanden ausrauben möchte, es aber nicht selbst mache, sondern jemanden engagiere und ich deswegen keine Verantwortung dafür habe.

STANDARD: Und Unternehmen kooperieren?

Spielkamp: In einem Land, in dem eine Firma ihren Sitz hat, muss sie sich an das Gesetz halten. In den USA gibt es drakonische Gesetze, mit denen Ermittlungsbehörden Unternehmen zwingen können, Daten herauszugeben. Weiter können sie eine Art Knebelverordnung erlassen, die es Firmen verbietet, das bekanntzugeben. Es bleibt nichts anderes übrig, sie müssen sich an das Gesetz halten. Dann gibt es Unternehmen wie der Telefondienstleister AT&T, der der NSA erlaubt hat, Hardware zu installieren, die Daten abfischt. Das ist direkte Kooperation. Und es gibt auch Unternehmen, die ausspioniert werden, ohne dass sie es erfahren. In einem Fall ist der Datenverkehr zwischen Google-Rechenzentren unverschlüsselt abgelaufen. Das waren ihre eigenen Leitungen, die vom Geheimdienst angezapft wurden. In den USA gibt es eine Initiative, die massenhafte Überwachung reglementiert wissen will. Mit dabei sind auch Facebook und Google, weil sie gegenüber ihren Kunden sehr viel Vertrauen verlieren. Ich nehme an, dass sie nicht wollen, dass alle ihre Daten in die Hände von Geheimdiensten gelangen. Das schädigt sie.

STANDARD: Treffen Sie Informanten nur mehr persönlich?

Spielkamp: Für mich ist das nicht praktikabel, und wir machen selten Geschichten, bei denen es um Quellenschutz geht.

STANDARD: Und telefonisch?

Spielkamp: Die Verbindungsdaten bei Telefongesprächen lassen sich praktisch gar nicht unterdrücken. Mit welchen Anschlüssen Gespräche geführt werden, ist unmöglich zu verschleiern. Über diese Metadaten lässt sich sehr viel herausfinden. Und dieses "Burner Phone", wie man es in amerikanischen Serien sieht, das mit einer nicht registrierten SIM-Karte läuft und nach dem Telefonieren zerstört wird, ist technisch gesehen Mumpitz. Es ist fast unmöglich an solche Telefone zu kommen und sie so einzusetzen, dass es nicht zurückverfolgt werden kann. (Oliver Mark, DER STANDARD, Langfassung, 21.11.2014)