Als Edward Snowden 2013 mit seinen Enthüllungen die Globale Spionage- und Überwachungsaffäre auslöste, gelang es der Open Source-Bewegung irgendwie auf diesen Zug aufzuspringen und sich als Lösung zu präsentieren. Was für ein Mythos!
Ich hatte das Thema schon wieder ein bisschen aus dem Blickfeld verloren. Dankenswerterweise brachte mich eine Ergänzung unter meinem Artikel zu Custom ROMs wieder darauf. Ein paar Grundgedanken habe anschließend schon in der Empfehlung zu einer privaten Risikoanalyse festgehalten. Wer wirklich glaubt, staatliche Überwachung wäre sein größtes Problem, hat eine verkürzte Risikoanalyse betrieben. In diesem Artikel möchte ich mich trotzdem vor allem auf den Aspekt Überwachung konzentrieren.
Das Thema ist gewaltig und füllt ganze Handbücher. Hier können nur einige Aspekte angerissen werden und diese stehen vielleicht etwas inkonsistent nebeneinander. Trotzdem wollte ich das hier mal thematisieren, um mit dieser Grundannahme „Open Source schützt vor Überwachung“ aufzuräumen.
Tracking durch Firmen ungleich staatliche Überwachung
Es ist schon extrem schwer, Datenschutz gegenüber den global agierenden IT-Konzernen mit ihrer umfassenden (Telemetrie-)Datenerhebung durchzusetzen. Das liegt einfach daran, dass man diesen Konzernen nicht so einfach aus dem Weg gehen kann. Dazu gibt es am Beispiel Google eine sehr empfehlenswerte Analyse.
Konzerne wie Google arbeiten aber nur im Rahmen ihrer Möglichkeiten. Manchmal vielleicht in rechtlichen Graubereichen, aber sicher nie offen illegal. Sie können Daten erheben, sie können Dritte dazu bewegen, Daten für sie zu erheben, sie können Firmen aufkaufen, um an Daten zu kommen oder sie können sich am schnöden Datenhandel beteiligen. Nutze ich die Dienste einer Firma nicht und bewege mich sehr umsichtig im Netz, habe ich gute Chancen, mein digitales Profil bei dieser Firma klein zu halten. Wie klein, ist wieder abhängig von der Firma. Google und Facebook haben vermutlich trotzdem Daten. Kleinere Unternehmen vielleicht tatsächlich nicht.
Wirklich interessant ist aber der Irrglaube, dass man mit Open Source den Überwachungsprogrammen der Geheimdienste entgehen kann. Die Grunde für diesen Irrglauben bildet das PRISM-Programm. Denn Teil der durch Snowden offen gelegten Dokumente Überwachung war auch PRISM und wir wissen, dass US-Firmen in einem gewissen Maße Daten an die Geheimdienste weitergeben (müssen). Open Source Software wie Linux ist mit diesen Firmen weniger verwoben als beispielsweise Windows oder macOS. Das war es aber schon.
Datenerhebung durch Firmen ist nicht das gleiche wie staatliche (Massen-)Überwachung und sollte auch nicht argumentativ vermischt werden.
Operationen zur Massenüberwachung
Jeder, der irgendwie im Jahr 2013 dem Mythos „Open Source hilft gegen Überwachung“ aufgesessen ist, sollte sich noch einmal den entsprechenden Wikipedia-Artikel zu den Enthüllungen von 2013 (ist auch schon wieder eine Weile her!) durchlesen. Wir wissen dadurch, dass die Geheimdienste mehrerer Staaten unter anderem folgende Maßnahmen zur Überwachung durchführen:
- Die NSA betreiben ein Rechenzentrum, das theoretisch groß genug ist um die Kommunikation der Weltbevölkerung zu speichern. Es gibt bekannte Programme um den Telefonverkehr kompletter Länder mitzuschneiden.
- Die Geheimdienste der Five Eyes schneiden den Datenverkehr direkt an den Seekabeln mit.
- Mehrere Daten wie z. B. Frankreich oder Brasilien speichern in großem Umfang die Metadaten der Internetnutzung und Kommunikation der Bevölkerung.
- In Deutschland lauscht der BND am Frankfurt Internetknoten DE-CIX.
- Die NSA nutzt hortet Sicherheitslücken und nutzt diese gezielt aus. WannaCry war sicher nur ein Beispiel von vielen.
Diese Liste ließe sich fast endlos fortführen. Und das ist mehrheitlich der Stand von vor 2013, also mittlerweile mindestens 8 Jahre her. Eine Ewigkeit bei dem Tempo der aktuellen Entwicklung. Es umfasst auch nicht die chinesischen und russischen (semi-)staatlicher Cyberoperationen und deren Überwachungsprogramme. Es handelt sich dabei auch nur um die automatisierte Massenüberwachung der Menschheit und keine gezielten Aktivitäten gegen einzelne Individuen, bei denen – nach allem was wir an Informationen haben – Aufwand und Möglichkeiten noch einmal deutlich ansteigen.
Die alleinige Fokussierung auf PRISM ist also eine extreme Verkürzung.
Und diesem allumfassenden Überwachungsprogramm der besten Geheimdienste der Welt entgehe ich wirklich, indem ich ein Open Source-Betriebssystem nutze? Ernsthaft? Wer das glaubt, hat die Fähigkeit der Dienste und Dimension dieser Programme nicht ansatzweise begriffen. Er hat zudem ein idealisiertes Bild freier Software, das einem Realitätscheck nicht stand hält.
Warum sollte quelloffene Software vor Überwachung schützen? Die Argumentation dafür basiert auf ideologischen Scheuklappen und Fehlannahmen.
Allgemeine (Fehl-)Annahmen
1. Es geht nicht um dein Gerät
Automatisierte Massenüberwachung bedeutet nicht, dass Tausende Mitarbeiter sich händisch auf jedes Gerät einloggen und dort Kamera und Mikrofon aktivieren wie in einem schlechten Film. Dein Gerät interessiert niemanden. Folglich interessiert dein System auch niemanden. Es ist egal, ob du Linux, FreeBSD, macOS oder Windows nutzt.
Die Datenströme sind interessant und hier gibt es Unterschiede zwischen den Systemen. Das hängt aber massiv von der individuellen Konfiguration ab. Auch macOS oder Windows lassen eine erhebliche Reduktion des Datenabflusses zu und auch Linux lässt sich als wahre Datenschleuder betreiben.
2. Daten fallen bei den Diensten an
Wirkliche Datenmengen fallen bei den genutzten Diensten an. E-Mail, Videokommunikation, Cloud-Dienstleister – die Liste ließe sich endlos fortführen. Diese Datenströme sind auch im Fokus der automatisierten Überwachung. Es ist streng genommen egal was diese Dienste für Software vorgeben zu nutzen. Wir können es nicht nachvollziehen.
Wir kennen auch nicht die internen Qualitätsstandards, die politische Ausrichtung des Dienstes und ob das Land, in dem der Dienst betrieben wird, über irgendwelche legalen oder illegalen Maßnahmen Druck auf den Dienstbetreiber ausüben. Selbst deutsche Gesetze haben hier Überraschungen, als Stichwort sei hier die Vorgaben zur Ausleitung von Daten für E-Mail Anbieter genannt.
Der kleine Anbieter mit primär Open Source Software im Einsatz ist hier in keiner stärkeren Position gegenüber den staatlichen Behörden als Microsoft oder Apple. Er ist bestenfalls nicht so sehr im Fokus, aber das kann sich auch schnell ändern.
Die Reduktion der genutzten Dienste und die Reduktion der erzeugten Daten sind hier die Lösung.
3. Verschlüsselung, Verschlüsselung, Verschlüsselung
Wirklich relevant ist gute und aktuelle Verschlüsselung. Das war 2013 so und ist 2021 so. Zumindest sofern man noch nicht gänzlich der pessimistischen Sicht verfallen ist, dass besonders fähige Geheimdienste wie die NSA auch diese schon längst knacken können.
Verschlüsselung ist kein exklusives Vorrecht von Open Source und die wirkliche Gefahr geht hier nicht von fehlender Verschlüsselung, sondern durch schlechte Umsetzung aus. Zentrale Bibliotheken des Open Source-Ökosystems haben hier in der Vergangenheit nicht geglänzt. Es gibt auch genug Mischsysteme, wo grundsätzlich proprietäre Dienste auf quelloffene Krypto-Bestandteile setzen.
Es gibt somit keinen belastbaren Grund, dass freie Betriebssysteme hier prinzipiell im Vorteil wären.
Mythen über Open Source
1. Die Einsehbarkeit des Codes sagt nichts über die Qualität
Offen einsehbarer Quellcode gilt in vielen Kreisen als Synonym für sicher und vertrauenswürdig. Im Zuge der Debatte um Projekte wie die Corona Tracing App oder die Luca App hat sich das vermutlich nochmal verstärkt.
Freie quelloffene Software und ihre Entwicklungsprinzipien sind ganz sicher nett für einen vertrauenswürdigen und integren Code. Es können halt mehr Leute rein gucken und man vermeidet dadurch vielleicht doofe Fehler und schlechte Sicherheitskonzepte. Also durchaus Punkte, an denen Geheimdienste ansetzen könnten. Das ist ein Pluspunkt für quelloffene Software, den man nicht leugnen kann.
Guter Code und gute Sicherheitskonzepte sind aber kein Exklusivrecht von freier Software, auch Entwickler proprietärer Software können das. Das sollte man nicht pauschal in Abrede stellen. Es sind ja sogar oft die gleichen Menschen, die mal für freie Software beisteuern und mal für ein proprietäres Projekt arbeiten.
2. Es geht nicht um Hintertüren
Das Kernproblem ist hier aber ein Mythos. Warum sollte die Code-Einsicht denn bei der Frage staatlicher Überwachung so zentral sein? Wer glaubt, freie Software hilft gegen die Geheimdienste, sitzt der alten Verschwörungserzählung auf, diese würden heimlich Hintertüren in Software einbauen. Nach allem was wir an Informationen haben, ist das für die Dienste aber überhaupt nicht notwendig.
Denn wie wir oben bei den Überwachungsprogrammen gesehen haben, geht es primär um Infrastrukturen und diese unterliegen sowieso staatlicher Regulierung. Hier spielt Überwachung durchaus eine Rolle. Es geht also selten um die Betriebssysteme selbst.
Auf Ebene der Betriebssysteme und Software nutzen die Geheimdienste genaue Kenntnisse der Systeme und insbesondere das Horten von Sicherheitslücken. Für Letzteres hatten wir in den vergangenen Jahren genug Belege. Sicherheitslücken machen nicht halt vor freier Software.
Die Verschwörungserzählung der Hintertür befeuert letztlich den Mythos „Open Source hilft gegen Überwachung“ und schafft damit einen weiteren Mythos.
3. Die Grenzen der Transparenz
An dem Punkt kommt immer jemand, der sagt, dass man halt bei proprietärer Software nicht nachvollziehen kann, wie diese funktioniert und nur freie Projekte wären unabhängig. Argumentativ stehen dahinter zwei riesige Illusionen und eine Unterschlagung: Es ist die Illusion des einsehbaren Quellcodes, der Weltgemeinschaft „Open Source Community“ und die Behauptung der totalen Intransparenz proprietärer Software.
Die Einsehbarkeit freier Software beschränkt sich auf den zur Verfügung gestellten Code. Niemand kann mit Sicherheit sagen ob dieser auch wirklich zum Einsatz kommt, oder ob der Dienst nicht eine modifizierte Variante verwendet. Das gilt für den großen Konzern ebenso wie für den Wohnzimmer-Admin. Denn – wie oben schon gesagt – die Daten fallen bei den Diensten an.
Die Weltgemeinschaft „Open Source Community“ existiert zudem nicht oder nur als Idee. Jeder Entwickler hat eine Staatsangehörigkeit und viele Projekte haben festgelegte Rechtsformen und Registrierungen. Sie müssen sich ebenso den Gesetzen ihrer Herkunftsstaaten unterwerfen wie jede andere proprietäre Firma auch.
Diese beiden Illusionen ergänzt eine Unterschlagung. Befürworter freier Software zeichnen ein besonders negatives Bild der Analysemöglichkeiten proprietärer Software. Diese ist zwar sicherlich nicht so gut wie bei quelloffener Software, aber es ist ein Mythos, dass proprietäre Software alles machen könnte.
Zusammengefasst
Natürlich gibt es Software mit guten Sicherheitskonzepten und es gilt auch weiterhin, Daten, die nicht anfallen, können nicht abgegriffen werden. Es ist auch keine schlechte Idee Daten nicht frei Haus ins Internet zu stellen, weil die automatisierte Massenüberwachung primär auf den weltweiten Datenverkehr abzielt. Angriffe auf den einzelnen Anwender und seine Daten sind natürlich nicht die Regel.
Weil viele Anbieter proprietärer Software gleichzeitig massiv Datenerhebung betreiben (siehe oben) und diese quasi „auf die Reise“ schicken, sind diese oftmals keine gute Idee.
Das bedeutet aber nicht, dass proprietäre Software zwangsläufig schlechte Konzepte hat und durchweg nicht datensparsam funktioniert. Es bedeutet auch nicht, dass jeder Dienst im Umfeld der „Open Source Community“ automatisch super wären. Es kommt immer auf den Einzelfall an.
Noch mal zur Erinnerung: Wir haben es mit den größten jemals da gewesenen Überwachungsprogrammen zu tun, die von finanzstarken und fähigen Geheimdiensten verwirklicht werden. Wer wirklich glaubt, er könne sich davor mit dem Einsatz von Open Source Software und freien Systemen wie Linux oder AOSP-Android schützen belügt sich selbst.
Es gibt sicherlich hundert gute Gründe für freie Software und freie Systeme wie Linux oder AOSP. Den Schutz vor staatlicher Überwachung sollte man aber lieber aus der Liste streichen.
Eine gute Nachricht zum Schluss: Man steht sicher auch nicht schlechter da, wenn man Linux oder ein freies Android nutzt.
Der Artikel Open Source gegen Überwachung? erschien zuerst auf [Mer]Curius