Etwas ist dem aktivistischen eMail-Provider riseup passiert - aber kompromittiert wurde er nicht

Riseup

[Vorbemerkung der Übersetzer*innen: Der folgende Artikel wurde im englischen Original am 24.11.2016 veröffentlicht. Obwohl seitdem einige Zeit vergangen ist, haben wir uns jetzt noch für eine Übersetzung und Veröffentlichung entschieden, da wir festgestellt haben, dass die Gerüchteküche um das anarchistische Serverprojekt riseup.net nicht nachlässt, sondern zum Teil recht wilde Blüten treibt. Der Artikel leistet unseres Erachtens einen wichtigen Beitrag um die notwendige Auseinandersetzung auf der Grundlage von Tatsachen zu führen. Er hat dazu den Vorteil, recht allgemeinverständlich geschrieben zu sein. Wir haben einige zusätzliche Fussnoten hinzugefügt, von denen wir hoffen, dass sie die Verständlichkeit für hiesige Verhältnisse noch erhöhen und weitere wichtige Hintergrundinformationen zur Einschätzung der Situation enthalten. Der Artikel selbst stammt von einer unseres Erachtens gut informierten und zuverlässigen Seite (näheres über Autor und Publikation am Ende des Artikels). Wir hoffen, dass diese Zeilen helfen werden, einen sachlichen, verantwortungsvollen Umgang mit der Situation zu finden. Don't panic. Stay safe. Have fun. =) ]

 

Im Laufe der letzten Woche gingen Gerüchte quer durch die digitale aktivistische Community, dass das Technikkollektiv riseup, welches eMail, Chat, VPN und andere Dienste für Aktivist*innen zur Verfügung stellt, nach Erhalt einer geheimen staatlichen Anordnung und eines damit verbundenen Knebelerlasses[1] kompromittiert[2] sein könnte. Das Kollektiv versorgt rund 150.000 Nutzer*innen mir eMail-Diensten, betreibt Mailverteiler mit 6.8 Millionen Abonnent*innen und stellt täglich über 1 Millionen eMails zu. Laut eines Vertreters des riseup-Kollektivs sind die Gerüchte übertrieben. Aber es ist klar, dass etwas geschehen ist, und dass riseup sich dazu nicht öffentlich äußern kann. "Wir würden riseup eher stillegen als Aktivist*innen zu gefährden", sagte der Sprecher. "Wir werden aber nichts stillegen, weil sich keine Aktivist*innen in Gefahr befinden".

 

Das Projekt riseup, das 1999 in Seattle gestartet wurde, ist heute einer der datenschutzfreundlichsten und überwachungsfeindlichsten Provider im Internet. "Wir halten es für entscheidend, dass wichtige Kommunikations-Infrastruktur von Bewegungsorganisationen betrieben wird, und nicht von Unternehmen oder Staaten", heißt es auf der Website des Kollektivs. "riseup zeichnet keine IP-Adressen auf und hat das seit den frühen '00er Jahren nicht getan", teilte mir das Kollektivmitglied in einer verschlüsselten eMail mit. "Wir arbeiten hart daran, den Umfang der Daten und (Metadaten), die aufgezeichnet werden, so sehr wie möglich zu minimieren. Der einzige Weg, die Informationen von Aktivist*innen weltweit zu schützen ist es, diese Informationen erst gar nicht zu besitzen". riseup verspricht in seinen Datenschutzbestimmungen, dass der Dienst so wenig wie möglich aufzeichnen und Nutzer*innendaten niemals an Dritte weiterreichen werde [3].

 

riseup veröffentlicht einen sogenannten Warrant Canary (auf deutsch meist "Sicherheits-Kanarienvogel" genannt), eine Erklärung, dass das Kollektiv noch nie eine geheime staatliche Anordnung erhalten hat, "nie irgendwelche Hintertüren in unserer Hardware oder Software angebracht oder irgendwelche Aufforderungen erhalten [haben], dies zu tun" und "nie irgendwelche Kommunikation von Nutzer*innen Dritten zugänglich gemacht" hat. Sollte riseup je eine solche Anordnung erhalten und diese Anordnung mit einem Knebelerlass verknüpft sein, der es dem Kollektiv verbietet, seine Nutzer*innen darüber zu informieren, so wird es den Warrant Canary nicht aktualisieren woraus die Nutzer*innen dann schließen können, dass etwas nicht stimmt [4].

 

riseups Warrant Canary sollte "ungefähr einmal vierteljährlich" erneuert werden. Die letzte Aktualisierung fand am 16. August 2016 statt - fast zwei Wochen nach der Dreimonatsfrist. Einigen Nutzer*innen ist aufgefallen, dass riseups Kanarienvogel gestorben zu sein scheint und sie schlussfolgerten, dass etwas nicht stimmt. Den Nutzer*innen ist außerdem aufgefallen, dass einige der jüngsten Twitter-Meldungen des riseup-Kollektivs versteckte Botschaften zu enthalten schienen, wie diese Bildschirmaufnahme aus den Bestimmungen des Providers, in denen das Kollektiv verspricht, dass es eher den Stecker ziehen würden, als sich "repressiver Überwachung durch irgendeine Regierung" zu unterwerfen. Dazu die Mitteilung:

 

we have no plans on pulling the plug https://t.co/7Bm0KrEnKA

pic.twitter.com/MvEu6itTX6

 

— riseup.net (@riseupnet) November 21, 2016

 

[Anm. d. Ü*.: Übersetzung:

wir haben keine Pläne, den Stecker zu ziehen https://t.co/7Bm0KrEnKA

pic.twitter.com/MvEu6itTX6 ]

 

Der offenbar abgelaufene Warrent Canary und die anscheinend mit versteckten Andeutungen gefüllten Twitter-Meldungen riseups veranlassten einige Menschen, öffentlich darüber zu spekulieren, dass riseup kompromittiert worden sei oder zumindest eine geheime National Security Order[5] erhalten habe und zur Zeit gerichtlich dagegen vorgehe. Diese Spekulationen begannen kurz vor den Thanksgiving-Feiertage[6].

 

"Aufgrund von Thanksgiving und anderer Fristen waren unsere Anwält*innen nicht erreichbar und wir konnten deshalb keinen juristischen Rat einholen, was wir sagen dürfen und was nicht", teilte mir ein Mitglied des Kollektivs mit. "Also konnten wir uns aus Gründen der Vorsorge zunächst nicht äußern. Inzwischen haben wir mit [Berater*in] gesprochen, und wir können deutlich sagen, dass wir von unseren Anfängen bis heute keine Nationale Sicherheitsanordnung, keine FISA-Anordnung/Direktive[7] oder irgend eine andere nationale Sicherheitsanordnung/-direktive erhalten haben, weder aus dem Inland noch aus dem Ausland".

 

Am 24. November twitterten riseup, dass es keinen Grund zu Panik gebe:

 

1. There is no need for panic.

2. Our systems are fully under our control.

3. We will provide additional information at a later date.

 

— riseup.net (@riseupnet) November 24, 2016

 

4. Our prior tweets did not have any hidden subtext.

 

— riseup.net (@riseupnet) November 24, 2016

 

[Anm. d. Ü*.: Übersetzung:

1. Es gibt keinen Grund zur Panik.

2. Unsere Systeme befinden sich vollständig unter unserer Kontrolle.

3. Wir werden zu einem späteren Zeitpunkt weitere Informationen

veröffentlichen

 

4. Unsere vorherigen Tweets enthielten keine versteckten Botschaften.]

 

Fairerweise muss man berücksichtigen, dass riseup ihren Warrant Canary seit Beginn seiner Veröffentlichung 10 mal aktualisiert haben, und das nicht in regelmäßigen Abständen. Der kürzeste Zeitabschnitt zwischen Aktualisierungen betrug knapp mehr als zwei Monate und der längste mehr als vier. Technisch gesehen könnte sich der Kanarienvogel vom 16. August also noch innerhalb des bisherigen Zeitfensters befinden - das heißt: Es ist noch nicht genug Zeit vergangen um Rückschlüsse zu ziehen, dass er abgelaufen ist. Als ich darauf hinweis, schrieb mir das Kollektivmitglied: "Ja, das ist ein schlechtes System, wir sollten ein spezifisches Datum haben. Die Uneindeutigkeit ist für niemanden lustig".

 

Und dennoch: Als ich danach fragte, ob riseup seit dem 16. August irgendeine Aufforderung zur Herausgabe von Nutzer*innendaten erhalten habe, erhielt ich vom Kollektiv keinen Kommentar. Es ist deutlich, dass etwas geschehen sein muss, sich riseup dazu jedoch nicht öffentlich äußern können.

 

Der Sprecher konnte mir aber Einzelheiten zum Kontext des Geschehens mitteilen: "Es gehen eine Menge Verschwörungstheorien um, weil die Leute denken, dass es sich um etwas größeres handelt als es tatsächlich ist", sagte er. "Tatsache ist, dass diese Theorien überhaupt nicht im Verhältnis zur Wahrheit stehen. Es ist nichts, weswegen die Leute durchdrehen müssten, oder Angst haben oder sich in den Bergen verstecken". [8]

 

Kurz gesagt bitten riseup ihre Nutzer*innen also, ihnen zu vertrauen. "Es ist lästig, dass wir nicht ausführen können, weshalb uns die Leute glauben sollten, wenn wir das sagen, aber die Leute haben uns über 16 Jahre lang vertraut, also hoffen wir, dass ihr uns glaubt, wenn wir sagen, dass ihr das weiterhin tun solltet".

 

Der Sprecher wies auch darauf hin, dass einige Menschen denken, die Regierung könnte riseup zwingen, dies zu sagen, "aber in Wirklichkeit ist es so, dass erzwungene Rede durch den Staat ausgesprochen selten vorkommt, und auch dann eigentlich nur zu Zwecken des Verbraucherschutzes stattfindet (wie im Fall von Warnungen auf Zigarettenpackungen) oder aufgrund anderer Sicherheitsbestimmungen". Für genauere Informationen zum geltenden Recht bezüglich erzwungener Rede in den USA verwies er auf das Warrant Canary FAQ der Electronic Frontier Foundation und Blogmeldungen über Apples rechtliche Auseinandersetzungen mit dem FBI.

 

Das riseup Kollektiv führt derzeit eine interne Diskussion, wann sie im Stande sein werden, ihren Warrant Canary zu aktualisieren.

 

[Anm. d. Ü*.: Der Artikel erschien im englischen Original am 29.11.2016 auf the Intercept. The Intercept ist eine Onlinezeitschrift, die 2014 u.a. von Laura Poitras und Glenn Greenwald gegründet wurde (den beiden Journalist*innen, die Edward Snowden mit der Veröffentlichung seiner Archive betraut hat). Das kurzfristige Ziel des Mediums ist es, die weitere Veröffentlichung der Snowden-Unterlagen zu garantieren und die Öffentlichkeit über das Thema Überwachung aufzuklären. Das langfristige Ziel, einen "agressiven, unversöhnlichen Journalismus zu einem breiten Themenspektrum hervorzubringen". Der Autor Micah Lee ist Sicherheitsexperte mit den Schwerpunkten Betriebssicherheit (Operational Security), Quellenschutz, Datenschutz und Verschlüsselung. Er ist Mitbegründer und Vorstandsmitglied der Freedom of the Press Foundation und schreibt regelmäßig für the Intercept. Zuvor hat er als Sicherheitsexperte für die Elektronik Frontier Foundation gearbeitet. Zudem arbeitet er seit über einem Jahrzehnt als Entwickler von Sicherheitstools wie OnionShare, SecureDrop, und dem Tor Browser Launcher. In der IT-Sicherheits- und Bürgerrechtsszene hat sich Micah Lee über die Jahre einen guten Ruf als engagierter, ernsthafter und vertrauenswürdiger Aktivist erworben. Über die Sicherheitsszene hinaus wurde er vor allem durch seine Rolle bei den Snowden-Veröffentlichungen bekannt. Er leistete einen wichtigen Beitrag zum Zustandekommen der Veröffentlichungen, indem er half, einen sicheren Kommunikationskanal zwischen Edward Snowden und den Journalist*innen Laura Poitras und Glenn Greenwald herzustellen.]

 

 


Fussnoten:


[1] Anm. d. Ü*.: Ein Knebelerlass (engl. "Gag order") ist eine Geheimhaltungsanordnung, die es Providern bei Androhung schwerer Haftstrafen verbietet, über den Eingang von Anordnungen zur Datenherausgabe oder Überwachung auch nur zu sprechen.

[2] Anm. d. Ü*.: In der IT bedeutet kompromittiert, dass ein System erfolgreich angegriffen und dort gespeicherte Daten ausgespäht oder manipuliert wurden, das System also nicht mehr Vertrauenswürdig ist

[3] Anm. d. Ü*.: Das klingt banaler als es ist. Wer sich mit Serveradministration auskennt, weiß, dass Datensparsamkeit im Serverbereich alles andere als trivial ist, weil die Server-Dienste schon zu Zwecken der Fehlerbehebung viele Informationen mitschneiden und in den Systemprotokollen ablegen. Zum Teil lassen sich allzu umfassende Mitschnitte durch Konfigurationsanpassungen vermeiden. Sie im größeren Maße auszuschalten ist aber oftmals gar nicht vorgesehen und bedarf daher mitunter tieferer Eingriffe in den Programmcode. riseup zeichnet sich im Gegensatz zur Masse der Provider unter anderem dadurch aus, sich diese Arbeit nicht nur für die eigenen Serverdienste zu machen, sondern ihre Konfigurations- und Programmanpassungen auch zu veröffentlichen, so dass sie überprüft und von anderen genutzt werden können, um eigene datenschutzbewusste Projekte aufzusetzen. Wer sich dafür interessiert, findet die Information in englischer Sprache auf
https://we.riseup.net/riseuplabs+paow/privacy-patches-and-packages und https://0xacab.org/riseup/privacy

[4] Anm. d. Ü*.: Nachdem die Praxis geheimer Anordnungen mit Knebelerlass in Folge der Snowden-Affaire bekannt wurde, veröffentlichten immer mehr sicherheitsbewusste Provider als Gegenmaßnahme sogenannte Warrant-Canaries (auf deutsch meist "Sicherheits-Kanarienvögel" genannt). Dabei handelt es sich um eine mit einer fälschungssicheren Signatur versehene Erklärung des Providers, bisher keine geheimen Anordnungen oder Durchsuchungsbeschlüsse erhalten zu haben. Indem die Erklärung regelmäßig aktualisiert wird, können Provider ihre Nutzer*innen informieren, dass es bisher keine staatlichen Überwachungsanordnungen gab. Bleibt die Aktualisierung des Canaries aus, können die Nutzer*innen daraus ihre eigenen Schlüsse ziehen, ohne dass die Provider gegen den Knebelerlass verstoßen müssten. Denn dieser verbietet es ihnen bei Androhung schwerer Haftstrafen, über den Eingang von Anordnungen zu berichten. Seit ihrer ursprünglichen Der gefiederte Name der Warrant-Canaries stammt übrigens aus dem Bergbau: Kanarienvögel werden schneller ohnmächtig als Menschen, wenn ihnen der Sauerstoff ausgeht. Daher nahmen Bergleute früher Kanarienvögel mit in die Minen, um gefährliche Gase wie Methan zu bemerken und noch rechtzeitig fliehen zu können.

[5] Anm. d. Ü*.: Nationale Sicherheitsanordnung gemäß der Antiterror-Gesetzgebung der USA. Infolge der unter dem Namen "USA PATRIOT Act" bekannt gewordenen Antiterror-Gesetzgebung von 2001 können diese Überwachungsanordnungen ohne Beteiligung eines Gerichts direkt von Ermittlungsbehörden ausgestellt werden, wenn es um Angelegenheiten der nationalen Sicherheit geht. Mit einem National Security Letter können Telekommunikationsanbieter, Banken und Finanzunternehmen verpflichtet werden, Daten über ihre Kund*innen herauszugeben. Dabei handelt es sich um sogenannte "Metadaten", also Bestandsdaten und Verkehrsdaten, die sich in der Telekommunikation auf Adressen, Anschlüsse, Kommunikationszeiten und -partner*innen beziehen, nicht aber die Kommunikationsinhalte umfassen. Für Anordnungen, die sich auch auf Kommunikationsinhalte beziehen, braucht es die Genehmigung eines speziellen Geheimgerichts (siehe Fussnote 6). In der Regel enthält ein National Security Letter eine Geheimhaltungsanordnung, die es der Empfänger*in verbietet, über den Inhalt oder auch nur den Erhalt eines National Security Letter zu sprechen.

[6] Anm. d. Ü*.: Thanksgiving ist ein in den USA und Kanada gefeiertes Erntedankfest und nationaler Feiertag.

[7] Anm. d. Ü*.: Eine Anordnung gemäß dem Gesetz zur Überwachung in der Auslandsaufklärung (FISA). Eine solche Anordnung, die sich auch auf Kommunikationsinhalte erstreckt, wird insb. Von NSA und FBI ausgestellt und von einem Geheimgericht - dem sog. FISA-Gericht - genehmigt werden. Ebenso wie Nationale Sicherheitsanordnungen sind die Anordnungen des FISA-Gerichts in der Regel mit einer Geheimhaltungsanordnung verbunden. Das FISA-Gericht war ursprünglich 1978 nach dem Watergate-Skandal ins Leben gerufen worden, mit dem offiziellen Auftrag, eine Kontrolle von Überwachungsmaßnahmen zu gewährleisten (böse Zungen sagen, es gehe tatsächlich bloss um die formale Legitimierung der Überwachung). Erst durch die Veröffentlichung von Geheimdokumenten durch die linksliberale britische Tageszeitung "Guardian" im Rahmen der Snowden-Affaire geriet die Arbeit des Gerichts aber ernsthaft in den Blick der Öffentlichkeit. Nun wurde auch die gewaltige Ausdehnung der vom Gericht abgesegneten Überwachungsmaßnahmen seit den Anschlägen vom 11. September 2001 bekannt. Infolgedessen war das Geheimgericht auch vergrößert worden. Und das obwohl praktisch alle Überwachungsmaßnahmen vom Gericht durchgewunken werden: Laut dem bisher aktuellsten der jährlichen Berichte des Gerichts an den Kongress wurden im Jahr 2015 alle 1457 Anträge, die von Ermittlungsbehörden gestellt wurden vom Gericht genehmigt - kein einziges Vorhaben wurde ganz oder auch nur teilweise abgelehnt. Im Jahr 2014 wurde von 1379 Anträgen, mit denen das Gericht zu tun hatte, ebenfalls kein einziger nicht genehmigt. Zuletzt kam es 2009 zu Ablehnungen - zwei Stück, bei 1320 genehmigten Anträgen. Insgesamt wurden zwischen 1979 und 2015 ganze 12 Anträge abgelehnt. 

[8] Anm. d. Ü*.: Tatsächlich hat sich nach über zwei Jahren Praxiserfahrung gezeigt, dass das System der Warrant Canaries noch unter diversen Kinderkrankheiten leidet, die es fehleranfällig machen. So kommt die Electronic Frontier Foundation (EFF) in einer Zwischenbilanz vom Mai 2016 zu dem Ergebnis, dass Warrant Canaries "interessante, aber keine eindeutigen Informationen" liefern. Weiter heißt es: "Im Laufe dieses Projektes haben wir einiges über das Wesen von Canaries im Web gelernt, das für alle wichtig ist, die mit Warrant Canaries arbeiten oder in ihrem Aktivismus damit zu tun haben." So habe sich gezeigt, dass sich Warrant Canaries oft "unerwartet verhalten". Es sei meist nicht möglich, die Bedeutung eines veränderten oder nicht aktualisierten Canaries eindeutig einzuschätzen, was bereits zu "zahlreichen Fehlalarmen" geführt habe. Jeder Canary sei individuell und so könnten Leser*innen nicht mit Sicherheit abschätzen, ob es sich bei (ausbleibenden) Veränderungen um einen "sicheren Indikator" für den erfolgreichen Erlass einer Anordnung handele. Stattdessen seien Leser*innen "gezwungen, auf Spekulationen und Indizien zurückzugreifen um zu entscheiden, was die Bedeutung eines fehlenden oder veränderten Canary ist". In ihrem Fazit kommt die EFF zu dem Ergebnis, dass das Konzept der Warrent Canaries dennoch ein erfolgreiches Verfahren zur Wiederherstellung von Transparenz in einem Bereich darstellt, in dem der Staat Transparenz verbieten will und dass eine Standardisierung von Canaries die bestehenden Probleme beheben könnte. Damit es dazu kommt, müsste jedoch erst eine größere Verständigung innerhalb der Sicherheitscommunity stattfinden. Technisch ist dies kein Problem; tatsächlich existiert bereits eine Software, die ein einheitliches, maschinenlesbares Format für Warrant Canaries vorschlägt und die manuelle Aufrechterhaltung auf ein Minimum reduziert. Die Software Namens AutoCanary, entwickelt von Micah Lee (dem Autor des Artikels).

Zeige Kommentare: ausgeklappt | moderiert

Dass riseup nicht kompromittiert wurde heißt ja nicht, dass sie nicht irgendeine Verfügung bekommen haben. Was sie laut Artikel sagen ist ja, dass sie keine Verfügung nach den Antiterror-Gesetzen erhalten haben (also keine FISA Court Order, National Security Letter o.ä.). Und laut ihren Twitter-Meldungen befinden sich ihre Systeme weiterhin vollständig unter ihrer Kontrolle, dh sie haben auch noch nichts rausgegeben.

 

Aber vielleicht haben sie eine andere Anordnung erhalten, die ebenfalls mit 'nem Redeverbot versehen ist und von ihrem Canary abgedeckt - der riseup-Canary ist ziemlich umfassend und schließt jede Art von Verfügung aus, nicht nur die nach Antiterror-Gesetzen. Wenn dem so ist, handeln sie verantwortungsvoll, indem sie den Canary nicht einfach erneuern, solange das Verfahren noch nicht abgeschlossen ist. Gleichzeitig dürfen sie sich aber eben bis zum Abschluss des Verfahrens nicht präziser äußern, als sie es bereits getan haben. Kann sogar sein, dass sie zur Herausgabe von Daten aufgefordert wurden, die sie gar nicht aufzeichnen und deshalb nicht herausgeben können. Das wissen wir nicht, bleibt also pure Spekulation (es wäre bloss eine mögliche Erklärung, weshalb sie sagen, dass die Sache nicht so groß ist, wie viele Leute denken). Das Redeverbot hätte aber auch in dem Fall weiter bestand, bis es juristisch erfolgreich bekämpft wurde.

 

Aus anderen Fällen ist bekannt, dass solche Verfahren lange dauern können - zum einen muss die Verfügung abgewehrt werden, zum anderen das Redeverbot. Bei Signal hat das Verfahren zur Abwehr des Redeverbots ca. ein dreiviertel Jahr gedauert, und auch da ging es nicht um eine Verfügung nach den Antiterror-Gesetzen, sondern um die Verfügung eines Bundesgerichts in einem Strafverfahren (netzpolitik.org berichtete).Signal hat allerdings keinen Canary, also gab es anders als bei riseup auch keine Gerüchteküche - weil alle überhaupt erst davon erfahren haben, als die ganze Sache schon vorbei war.

 

Die Frage ist also einfach, ob du bereit bist, bis zum Ausgang des Verfahrens abzuwarten und riseup weiterhin vertraust, dass sie eher den Stecker ziehen als Daten rausgeben werden und wie versprochen mehr über die Vorgänge berichten, sobald sie dafür nicht mehr in den Knast wandern müssen... Wenn nicht, wechselst du eben den Provider. Für die Dezentralisierung linker Infrastruktur ist es sicher auch nicht verkehrt, wenn sich nicht alles bei riseup tummelt. Wobei es ziemlich bitter wäre, wenn sich Teile der Szene nun von riseup entsolidarisierten, obwohl die nur verantwortungsvoll handeln, indem sie den Canary nicht erneuern. Und sie haben ihren guten Ruf über all die Jahre ja nicht ganz umsonst erworben.

Aber es ist letzten Endes eben eine Frage des Vertrauens.

 

Ansonsten bleibt die Erkenntnis, dass Canarys offenbar nicht so eindeutig sind, wie sich das viele vorgestellt oder gewünscht hätten - jedenfalls in der bisherigen Form. In der Hinsicht finde ich die letzte Fussnote des Artikels auch ziemlich erhellend... 

Ich finde die Lage ist recht eindeutig:

 

Riseup wurde aufgefordert (bestimmte) Nutzer_innen Daten an die Regierung rauszugeben, weiterhin dass sie dazu kein Wort verlieren.

Nun speichert Riseup aber keine Nutzer_innen Daten, so dass eben auch nichts kompromitiert ist und alle User safe sind.

Wenn sie jetzt den Canary aktualisieren dann würden sie ja quatsch schreiben, also aktualisieren sie diesen nicht, geben aber gleichzeitig Entwarnung. Gleichzeitig streiten sie vor Gericht über diese Anweisung, um uns zu einem späteren Zeitpunkt über eben diese Hintergründe in Kenntnis setzen zu können.

 

Ergo: Riseup hat nen bösen Brief vonner Behörde bekommen, alle Daten sind aber safe, niemand ist gefährdet. Guten Gewissens aber zu behaupten: nie eine solche Aufforderung bekommen zu haben geht halt eben auch nicht!

 

Manchmal klingt halt vieles komplizierter als es dann doch ist...

 

(Btw: solche Kommentare à la "also ich werde ab jetzt einen anderen Provider nutzen" kann man sich getrost sparen, bzw. mal ne Minute über die eigene Medienkompetenz reflektieren, ist ja hier schließlich nicht das Amazon Kommentator_innen Forum, in dem du bewertest, welche Dienstleistung du für "angemessen" hälst und welche nicht...)

danke, endlich mal eine klare, leicht verständliche erklärung. Muss doch gar nicht alles immer so übertrieben lang sein - übertrieben präzise macht die Dinge eben nicht klarer!!

danke für die übersetzung des textes, eine sache habe ich allerdings noch nicht verstanden...

 

wenn riseup den canary nicht aktualisiert bis ein etwaiges verfahren durch ist, woher weiß ich dann, dass sie nicht in den nächsten monaten eine wesentlich gravierendere anordnung bekommen, erst wenn alle riseup-services down sind und sie offensichtlich den stecker gezogen haben? oder gibts ne andre lösung dafür?

 

grüße

Das ist eines der Probleme von Canaries: Ist der Kanarienvogel umgefallen, lässt sich nicht sagen, ob er erneut umfallen würde, solange er sich nicht wieder aufgerichtet hat. Es gibt weitere Probleme, siehe Fußnote 8. Das Canary-System muss noch verbessert werden.

Antwort: Nein, der Original-Text ist nicht digital signiert.

Frage: Kann daher jeder einen solchen Text verfassen und auf einem kompromittierten Server hinterlassen?

Antwort: Ja, das ist möglich.

 

Wie man damit jetzt umgeht, sollte man sich selber fragen...

Frage: Aber würde dem Autor nicht auffallen, dass da jemand einen Artikel in seinem Namen veröffentlicht hat? Würden The Intercept nicht mitteilen, wenn sie kompromittiert wurden?

Antwort: Woher willst du denn wissen, dass es den Autor überhaupt gibt? Wer sagt dir, dass the Intercept nicht eine Arbeitsgruppe der NSA ist?

Frage: Aber der Autor ist so vielen Leuten bekannt, all diese Jahre konsequenten Engagements - und das lässt sich doch auch heute noch alles ohne Schwierigkeiten im Netz nachrecherchieren... Und the Intercept - Glenn Greenwald und Laura Poitras, die haben durch ihre Arbeit immer wieder beträchtliche Repression und Nachteile in Kauf genommen, um unliebsame Wahrheiten ans Licht zu bringen, nicht zuletzt in der SNowden-Affaire --

Antwort: Ha! Snowden ist in Wahrheit der Name einer Desinformations-Kampagne der NSA!! Äußerst geschickte Tarnung! Vertraue keinem. Es gibt keinen Widerstand. Alles ist gelenkt. Es gibt nur dich. Und all die, die gegen dich sind...

Frage: ... ?!? ...

 

Ja, das Internet ist ein wirklich unsicherer Ort. Da gibt es Identitätsklau, Fake News, Honeypots, die von Behörden betrieben werden usw. usf.

Die Straße vor meiner Haustür ist auch ganz schön unsicher. Da gibt es Raser und Betrunkene, machtgeile Bullen, betrunkene Macker usw. usf.

Aber in beiden Fällen sind wir trotzdem nicht ständig der totalen Ungewissheit ausgesetzt, weil es doch ein paar Verhaltensweisen gibt, die das Risiko minimieren.

Ein guter Anfang ist es, den gesunden Menschenverstand einzuschalten.

 

Schätze, wir brauchen mehr Medienkompetenztrainings...

... die wissen, wofür Signaturen gut sind. Du weißt es offensichtlich nicht.

Es genügt dir nicht, dass ein Artikel in einer Onlinezeitschrift veröffentlicht wird, in der der Autor regelmäßig schreibt - du brauchst unbedingt seine digitale Unterschrift, ehe du glaubst, dass er es ist? Ich mein, ok kann man meinetwegen machen, ich finds gut, wenn sich PGP verbreitet. Aber so zu tun, als gäb es keine anderen Möglichkeiten, die Zuverlässigkeit von Quellenangaben zu überprüfen, ist einfach absurd. Und deshalb zu sagen, ich vertraue diesem Beitrag nicht, da muss man schon ziemlich drauf versessen sein, nicht zu vertrauen.

... die die Authentizität eines Artikels sicherstellt, ist in der vorliegenden Situation, nämlich daß der Riseup-Kanarienvogel ziemlich tot ist, dringend geboten, zumal das die einfachste Möglichkeit für jede und jeden ist, zu überprüfen, ob der Text authentisch ist oder nicht. Das hat auch nichts damit zu tun, ob wer versessen - auf welche Möglichkeit auch immer - ist.

 

Nebenbei gesagt, ist es ein leichtes, den Text nochmal zu veröffentlichen und zwar signiert, um jedweder Spekulation, manche sprechen auch von Paranoia, den Wind aus den Segeln zu nehmen.

Mensch sollte die Phase der UNSICHERHEIT nutzen und sich nach dezentralen Alternativen umsehen.

https://wutimbauch.wordpress.com/2016/12/28/riseup-net-was-nun/

https://www.privacy-handbuch.de

Dezentralität von Infrastrukturen ist immer gut und erhöht die kollektive Sicherheit.

 

Unbegründetes Misstrauen und Paranoia streuen hingegen ist immer schlecht und zerstört die elementaren Grundlagen kollektiver Sicherheit.

 

Wenn es dir um ersteres geht, unterstütze ich dein Anliegen voll und ganz.

Die Gerüchteküche, die du da auf deinem Blog betreibst, schadet diesem Anliegen aber immens.

 

Einerseits, weil sie die Leute aus falschen Gründen zum Wechseln der Server bringt, so dass am Ende keine_r schlauer ist als vorher. Andererseits, weil sie Gefährt_innen, die seit über einem Jahrzehnt viel für die Bewegung getan und gegeben haben, in Zeiten der Repression im Regen stehen lässt. Schlimmer noch, du verbreitest krasse Anschuldigungen, die du offenbar auch dann nicht korrigierst bzw. relativierst, wenn du über die Hintergründe aufgeklärt wirst.

 

Und nun frage ich mich: Warum meint jemand, dessen "Sicherheits"-Empfehlungen zum Teil zeigen, dass er noch keinen sonderlich gründlichen Einblick in die technischen Zusammenhänge genommen hat, sich zu diesem Thema so weit aus dem Fenster lehnen zu müssen, dass er die Arbeit von Gefährt_innen derart entwertet und sie - natürlich ohne es irgendwo explizit auszusprechen - quasi des Verrats beschuldigt...?

 

Ganz gleich, was deine Motivation sein mag, das nenne ich verantwortungsloses Handeln.

Ich würde mal sagen, weiterhin halbwegs beruhigt über riseup mailen. Weiß der Geier, wo überall die NSA oder jeweilige landestypische Geschmacksrichtungen der Schlapphüte technisch schon drauf und drinsitzen, OHNE, daß es einen Warrant Vulture Canary gibt oder sonstwelche auch nur minimalste Warnung.

 

Mensch nehme

a) einen gesunden, pragmatischen Level an Paranoia :)

b) eine gute Ende-zu-Ende-Verschlüsselung wie GnuPG, die einen Fingerprinttausch zwecks Identitätsverifizierung "offline" ermöglicht und ohne zwingende zentrale Zertifikatsstruktur wie S/MIME auskommt (letzteres macht anonymes Mailen relativ schwierig...)

c) vermeide Webmail und IMAP (weil beides mehr oder weniger davon lebt, daß Mails Ewigkeiten lang auf Providerservern anstatt lokal im eigenen Einflußbereich

d) verwende Tor etc., um die Verkehrsdaten weitestgehend unbrauchbar zu machen

e) verwende im Zweifelsfall Tails & Co, um auf dem eigenen Alltags-PC keine Spuren zu hinterlassen

Bei all der Aufregung über den Warrent Canary von riseup macht es vielleicht Sinn, sich mal die Situation in anderen Ländern anzuschauen.

 

Wie sieht das z.B. in Germoney aus? Da gibt es schonmal keine Geheimgerichte, das ist gut. Aber: bei Auskunftsersuchen der Behörden werden Dienstanbieter hier u.a. laut TKG und G-10-Gesetzen zur Verschwiegenheit verpflichtet. Ein Verstoß kann mit mehrjähriger Haft geahndet werden. Zulässig ist laut einer Antwort des Justizministerium auf eine kleine Anfrage von Ströbele lediglich "die Veröffentlichung anonymisierter, statistischer Angaben durch Provider etwa zur Anzahl der [...] Maßnahmen" z.B. in Form von jährlichen Transparenzberichten. Aber alles, was Aufschlüsse über laufende Ermittlungen zulässt, Detail-Angaben usw sind strafbar und eine Benachrichtigung der Betroffenen sowieso (find ich schon interessant, weil 'ne Hausdurchsuchung z.B. ja auch nicht in Unkenntnis des Betroffenen durchgeführt wird). Wenn Provider ihre Kund*innen zeitnah benachrichtigen wollten, wären Canarys also evtl. auch hier 'ne Option.

 

Aber hier wurde ja nun auch deutlich, dass die auch nicht unbedingt das Gelbe vom Ei sind. Und nach dem, was Riseup deshalb alles an Verdächtigungen und Beschimpfungen eingesteckt haben, werden sich andere Provider jetzt sicher sowieso gut überlegen, ob sie sich sowas überhaupt antun wollen.

 

Wie sieht es denn in anderen Ländern aus?

Ihr Erklärung:

https://linksunten.indymedia.org/en/node/204180

 

In den Kommentaren dadrunter befinden sich deutsche (Schnell-)Übersetzungen