Hier dokumentiere ich einige Fragen, die ich von Menschen im Bezug auf die NSA-Überwachung meines Tor-Servers erhalten habe. Die Versionsgeschichte dieses Dokuments findet sich auf https://github.com/shahn/wwwcip Vorweg: Ich bin überrascht davon, dass bisher am heutigen Tag kein einziger Journalist, der sich bei mir gemeldet hat, selbst irgendwelche Verfahren einsetzt um die Integrität und Vetraulichkeit seiner Kommunikation zu garantieren. Bitte überlegt euch, ob Verschlüsselungs- und Signaturtechnologien nicht auch für euren Arbeitsalltag wichtig sind. UPDATE: Inzwischen trudeln die ersten verschlüsselten und/oder signierten E-Mails ein. Prima! F 1: Wie alt sind Sie, was machen Sie an der Uni, welche Berufsziele haben Sie? A: Ich bin 27 Jahre alt, und studiere Informatik. Meine Ziele und weiteren Wünsche behalte ich für mich. F 2: Wenn alle Tor-Nutzer und -Interessenten als verdächtig markiert werden, warum sollte man Tor dann trotzdem nutzen? Können Sie meinen Lesern erklären, warum es sinnvoll ist, sich von diesen neuen Enthüllungen nicht einschüchtern zu lassen? A: Die Daten, die ich einsehen konnte, zeigen, wie umfassend die Datenabgreiferei ist. Durch XKeyscore und verwandte Programme entgeht man der Überwachung nicht einfach dadurch, dass man Tor nicht verwendet - im Gegenteil, statt der Information "Herr Maier benutzt gerade Tor" und "ein Tor-User schaut gerade ein Youtube-Video" erhält ein Geheimdienst direkt die Information "Herr Maier schaut gerade ein Youtube-Video". Jeder Tor-Nutzer sendet ein starkes Signal, dass ihm die Demokratie und die ausufernde Überwachung der gesamten Kommunikation nicht egal ist. Ich kann nur dafür werben, sich für eine freiheitliche Gesellschaft einzusetzen. F 3: Ich betreibe einen Tor-Server. Bin ich auch von Überwachung betroffen? A: Jeder ist von Überwachung betroffen. Beweise, dass die Relays von allen Unterstützern von Tor von XKeyscore erfasst werden, habe ich aber keine gesehen - die zentralen Tor Directory Authorities nehmen insofern eine Sonderstellung ein. F 4: Du bist nun neben Angela Merkel das einzig namentlich bekannte Opfer von NSA-Überwachung in Deutschland. Wie fühlt sich das an? A: Die Qualität der Ausspähung ist eine ganz andere, daher bin ich kein Freund von diesem Vergleich. Jeder Deutsche ist täglich von ungerechtfertigten Überwachungsmaßnahmen betroffen, ohne dass es bekannt wird. Der Einzelfall mag zwar gut für Schlagzeilen sein; die riesige Dimension der Überwachung und die fehlenden Schutzmaßnahmen insbesondere für technisch unbedarfte Menschen sind der eigentliche Skandal. Ich bin schockiert darüber, wie einfach Unschuldige in den Fokus der Überwachung geraten können, und mit welcher Selbstverständlichkeit die Geheimdienste vorgehen. Ohne die Überwachung eines meiner Server relativieren zu wollen möchte ich erwähnen, dass ich in den mir zugänglich gemachten Dokumenten keine Hinweise auf eine weitergehende Überwachung - beispielsweise meines privaten Laptops - gefunden habe. Ausschließen, dass sich diese weiteren Rechner in anderen Teilen des umfangreichen XKeyscore-Programms finden, kann ich natürlich nicht. F 5: Ein technisches Detail interessiert uns noch: Der NDR spricht von "Quellcode", was wir nicht so richtig nachvollziehen können. Vielleicht können Sie uns noch einmal sagen, wo genau die IP-Adresse Ihres Tor-Servers aufgetaucht ist. A: Die im Videobericht zu sehenden Unterlagen wurden mir für die Dauer des Interviews vorgelegt. Dort habe ich Quelltexte (tatsächlichen Programmcode in einer mir unbekannten Sprache, mit C++-Einschüben) gesehen, die offensichtlich XKeyscore-Plugins darstellen. In diesem Quelltext, dessen Qualität ich als generell minderwertig einschätzen muss (widersprüchliche Kommentare, Datenkopien mit Fehlern, etc) befand sich tatsächlich fest einkodiert die IP-Adresse meines Servers. Verweise auf eine externe Konfigurationsdatei habe ich keine gesehen. F 6: In den Augen des Geheimdienstes bist du offenbar ein "Extremist" - nur, weil Du deine Privatsphäre und die anderer schützen möchtest. Wie geht es Dir damit? A: Das Wort Extremist ist nicht direkt im Zusammenhang mit mir gefallen, gleichwohl sind Menschen betroffen, die wie ich daran arbeiten, der Welt ein Stück Freiheit im Internet zurückzugeben. Privatsphäre ist Grundrecht, kein verschrobenes Ziel sogenannter Extremisten. F 7: Ich würde Ihnen daher gerne eine Unterstützung für Ihre Arbeit zukommen lassen. A: Ich möchte eigentlich persönlich nicht von der Überwachung eines Geheimdienstes profitieren. Unterstützen Sie das Tor-Projekt, betreiben Sie einen Server, sprechen Sie mit Ihrem Umfeld über Sicherheit und Datenschutz im täglichen Leben. Halten Sie das Thema über den heutigen Tag oder die nächsten Wochen hinaus am Leben. F 8: Hast Du damit gerechnet, dass die NSA an deinen Daten und Informationen interessiert sein könnte? A: Es war seit den Leaks von Edward Snowden leider abzusehen, dass sich Geheimdienste für die Arbeit von Anonymisierungsnetzwerken interessieren - soviel zeigten allein die aufgetauchten Folien. Dass es soweit gehen könnte, die Server der Betreiber verdachtsunabhängig zu überwachen, ist eine Qualität mit der man nicht unbedingt rechnen konnte. F 9: Welche persönliche Konsequenzen ziehst du daraus, im Visier der NSA zu sein? A: Ich fühle mich bestätigt auf meinem Weg. Nur durch aktives Handeln lässt sich unsere Demokratie langfristig verteidigen, Demokratie braucht Privatsphäre und Sicherheit in der Kommunikation. F 10: Wo hast Du den Server für das Tor-Netzwerk betrieben? Die Tagesschau schreibt, der Server lief über die IP-Adresse 212.212.245.170 - die wiederum ins Industriegebiet Nürnberg-Feucht führt. Welche Rolle hast Du im Tor-Netzwerk gespielt? Wirst du weiterhin aktiv bleiben? A: Der Server steht in einem Rechenzentrum in Nürnberg. Wo genau der Server steht, ist allerdings irrelevant - Benutzer aus der ganzen Welt sind eingeladen, ihn dazu zu benutzen ihre persönliche Kommunikation sicherer zu machen. Der Server nimmt im Tor-Netzwerk eine besondere Rolle ein, er hilft bei der Verwaltung der mehreren tausend anderen Tor-Server. Aus diesem Grund ist er auch eines der lohnenswertesten Ziele. Meine Aktivitäten im Tor-Netzwerk werde ich selbstverständlich fortsetzen, und ich werde weiterhin dafür werben, dass andere es mir gleich tun. F 11: Ich habe beim Lesen der Berichte in den Medien vor allem darüber gestaunt, wie der NDR über kryptische Daten auf Ihren Rechner und damit Ihren Namen kam. Das würde ja im Klartext bedeuten, dass Daten, die von der NSA einmal geklaut wurden, im Prinzip frei verfügbar sind. Oder sehe ich das falsch, haben Sie sich selbst direkt an die Medien gewandt? A: Die Daten sind nicht kryptisch, sondern normale IP-Adressen - daran kann man einen Server im Internet einfach identifizieren. Ich verstecke mein Engagement für Tor nicht, und daher ist es nicht schwer von der IP-Adresse auf mich zu schließen. Dem NDR wurden Dokumente zugespielt, die mir vorgelegt wurden. Ich selbst habe mich zu keinem Zeitpunkt selbst an die Medien gewandt. F 12: Haben Sie als Experte eine Ahnung davon, wie groß der Eisberg unter dieser Spitze ist, sprich, wie viel vom Datenverkehr ausgespäht wird? A: Nein, ich habe keinen weiteren Einblick. Da allerdings sogar die Inhalte von E-Mails analysiert werden, muss von einer fast vollumfänglichen Überwachung ausgegangen werden. F 13: Haben Sie die Authentizität der Dokumente überprüfen können, die NDR / WDR Ihnen gezeigt haben? A: Nein. Die Dokumente wirkten auf mich sehr plausibel, hatten Daten/Zeilennummerierungen und passen in das Schema der bisher veröffentlichten Daten. Ich kenne die Quelle nicht, und möchte auch keine Mutmaßungen diesbezüglich anstellen. F 14: Ich nehme an, dass Sie nicht an einer Personalisierung interessiert sind. Wenn das stimmt, wäre es großartig, wenn Sie kurz schreiben könnten, wieso? A: Hier verstehe ich Ihre Frage leider nicht. Ich bin namentlich genannt worden, und betreibe meinen Tor-Server in aller Öffentlichkeit. Die Überwachung bezieht sich aber nicht nur auf mich und meine Person, sondern die gesamte Gesellschaft in Deutschland und darüber hinaus. Sich auf eine einzelne Person zu fokussieren geht am Problem vorbei. F 15: Ich nehme an, dass es kein "Snowden-Dokument" ist. A: Ich habe auf die Frage, ob es ein Dokument aus dem Snowden-Fundus ist, keine Antwort erhalten. Ich möchte keine Vermutung aussprechen. F 16: Was ich mit der ersten Frage gemeint habe, war, dass sicherlich viele Anfragen kommen (oder kommen werden), die - etwas überspitzt ausgedrückt - danach fragen, ob und wieviel Club-Mate sie trinken, wo sie Abends weggehen, etc. Also: Private Dinge, die über Ihr Engagement für Tor hinaus gehen. Und ich schließe aus ihrer Antwort, dass sie dazu nichts sagen werden, da es nicht um einzelne Personen geht, wie Sie schreiben? A: Nein, Sie sind eigentlich der einzige, der bisher gefragt hat. Sie haben allerdings Recht mit der Annahme, dass ich zu persönlichen Dingen keine Stellung beziehen werde. F 17: Wie sind Sie zum Tor-Projekt gekommen? A: Ich arbeite seit Anfang 2008 ehrenamtlich beim Tor-Projekt mit, da ich mit seinen Idealen übereinstimme und direkt helfen konnte. Ich habe eine sehr freundliche und hilfreiche Gemeinschaft von Menschen erlebt, denen Privatsphäre im Internet eine Herzensangelegenheit ist. Ich konnte mich mit meinen Programmierkenntnissen einbringen und sie dort ausbauen. Bis heute engagiere ich mich über das bloße Betreiben eines Servers hinaus im Projekt. F 18: Wann und wie haben Sie erfahren, dass Sie ins Fadenkreuz der NSA geraten sind? A: Bei der Aufzeichnung des Video-Interviews (12.6.2014). F 19: Haben Sie bereits persönlich Auswirkungen der Ausspähung zu spüren bekommen? Können Sie noch uneingeschränkt arbeiten oder reisen, z.B. in die USA? A: Ich habe bislang keinerlei Einschränkungen erfahren, bin allerdings seit Längerem nicht mehr in die USA eingereist. Ich rechne nicht mit Problemen. F 20: Welches sind die effektivsten technischen Möglichkeiten, sich vor dieser gezielten Spionage zu schützen? A: Ich betrachte Tor als die effektivste Technologie, die uns momentan zur Verfügung steht. Viel wichtiger wäre allerdings ein gemeinsames gesellschaftliches Bewusstsein für die Problematik, und ein individuelles Verhalten, was dem Rechnung trägt. F 21: Würde die Mehrzahl der Internet-Nutzer das Tor-Netzwerk oder andere nutzen, könnte die NSA dann die Masse der auszuwertenden Verbindungen noch bewältigen? A: Ich möchte nicht spekulieren, allerdings sind Verbindungsdaten vergleichsweise klein. Es ist davon auszugehen, dass heute bereits sehr viele Daten verdachtsunabhängig abgegriffen und gespeichert werden. Benutzten mehr Menschen Tor, wäre die Qualität der abgegriffenen Daten natürlich geringer. F 22: Was muss ich tun, um Directory Authority Operator zu werden? A: Leider erfüllen die dirauths im Tor-Netzwerk eigentlich keine sinnvolle Aufgabe, sie werden kaum dafür genutzt, Nutzer-Traffic zu anonymisieren. Ihre Aufgabe bezieht sich vielmehr auf das Verwalten des Netzwerks und das gemeinsame Erstellen der kanonischen Liste aller Tor-Relays. Daher wird die momentane Anzahl von 9 dirauths als guter Kompromiss zwischen Robustheit und Ressourcenverschwendung gesehen. Zur eigentlichen Frage: Wenn eine neue dirauth gesucht wird, werden von den Entwicklern von Tor langjährige und in der Community bekannte Einzelpersonen angesprochen, ob sie sich vorstellen könnten, eine dirauth zu betreiben. Der Server, der dafür ausgesucht wurde, sollte möglichst stabil und bei einem vertrauenswürdigen Hoster betrieben werden. Außerdem sollte die verfügbare Bandbreite natürlich groß genug sein, dass ein stetiges Wachstum des Netzwerks keine Probleme verursachen kann.