E-Mail-Provider RiseUp: Der Kanarienvogel ist verstummt

Encryption sucks
Erstveröffentlicht: 
26.11.2016

RiseUp, ein Anbieter verschlüsselter E-Mail-Kommunikation, hat seinen Warrant Canary nicht aktualisiert – das wird als Hinweis darauf gewertet, dass staatliche Stellen in den USA die Herausgabe von Nutzerdaten gefordert haben könnten.

 

Sicherheitsexperten machen sich in diesen Tagen Sorgen um den US-amerikanischen E-Mail-Provider RiseUp, der verschlüsselte Kommunikation anbietet. Hintergrund ist ein schon länger nicht mehr aktualisierter Warrant Canary ("Sicherheits-Kanarienvogel") auf der Website des Unternehmens. RiseUp hat stets betont, sich staatlichem Druck zur Herausgabe von Informationen bestmöglich widersetzen und im Zweifelsfalle lieber "den Stecker ziehen" zu wollen. Zu den Kunden von RiseUp zählen unter anderem der Whistleblower Edward Snowden und Wikileaks-Chef Julian Assange.

 

Das Unternehmen versucht derzeit, argwöhnische Nutzer und Beobachter per Twitter zu beruhigen: Man habe nicht die Absicht, den Stecker zu ziehen; die Systeme seien vollständig unter eigener Kontrolle. Zusätzliche Informationen wolle man zu einem späteren Zeitpunkt bereitstellen. Ein Update des Warrant Canary ist aber weiterhin nicht erfolgt – was wiederum nicht bedeuten muss, dass RiseUp tatsächlich schon Nutzerdaten weitergegeben hat.

 

Warrant Canary

 

Ein Warrant Canary ("Sicherheits-Kanarienvogel") ist ein halbverdecktes Konstrukt, um das Vorliegen geheimer Anweisungen von staatlichen Behörden zu signalisieren. Solche geheimen Anweisungen, die etwa die Offenlegung von Nutzerdaten verlangen, erfolgen in den USA beispielsweise als National Security Letter, als Anordnung des Geheimdienstgerichtshofs FISC oder auf Basis des FISA-Gesetzes. Das Pikante: US-Firmen machen sich strafbar, wenn sie die Zustellung einer solcher Anweisung öffentlich bekanntmachen.

 

Ein Warrant Canary soll dies umgehen. Firmen veröffentlichen etwa regelmäßig die Aussage, dass man bislang keinen National Security Letter, eine FISC-Anordnung oder ähnliches erhalten habe. Verschwindet diese Aussage oder wird sie wie bei RiseUp nicht mehr aktualisiert, so gilt dies dann als Hinweis darauf, dass der Firma mittlerweile eine geheime Anweisung zugestellt wurde. Freilich ist das System nicht perfekt: Es kann auch passieren, dass ein Unternehmen die Aktualisierung eines Warrant Canary schlicht vergisst.

 

Der Begriff "Warrant Canary" geht auf den Kohlebergbau zurück, als Kanarienvögel untertage mitgeführt wurden. Da diese Tiere deutlich schneller auf toxische Gaskonzentrationen reagieren als Menschen, war eine Verhaltensänderung oder der Tod der mitgeführten Vögel ein untrügliches Zeichen dafür, dass etwas nicht stimmt und die Bergleute sich in Sicherheit bringen sollten.