13.06.2018

Kommentar: weitere Einschränkungen der digitalen Privatsphäre in Russland

Kommentar: weitere Einschränkungen der digitalen Privatsphäre in Russland Datenschutz und Compliance

Bereits der Einsatz von unregulierten VPN-Lösungen und Proxydiensten  ist innerhalb Russlands effektiv kriminalisiert worden: Um zugelassen zu werden, müssen VPN-Betreiber im Rahmen des Zensurgesetzes imstande sein, bestimmte Internetseiten auch innerhalb eines VPN zu blockieren. Eine "Schwarze Liste" mit zu sperrenden Webseiten wird von den zuständigen Behörden gepflegt. Sie enthält Webseiten, deren Inhalt als "schädlich" oder "illegal" eingestuft wird. Von VPN-Anbietern wird erwartet, dass sie die staatliche Blacklist bei ihren Kunden umsetzen. Auch müssen sie in der Lage sein, auf Verlangen Daten über die Benutzer des jeweiligen VPN-Dienstes bereitzustellen, was viele Anbieter allerdings nicht leisten können, da sie diese Daten nicht erheben. Seit mehreren Wochen sind in der russischen Regierung Bemühungen im Gange, den Einsatz verschlüsselter Messenger zu verbieten. Erstes Ziel ist der Messenger-Dienst „Telegram“ – ironischerweise hat Telegram seine Wurzeln in Russland. Nachdem die Betreiber sich geweigert haben, Krypto-Schlüssel an die russischen Sicherheitsbehörden weiterzugeben und somit für Behörden eine Hintertür zu öffnen, wurden bereits gezielt IP-Bans eingesetzt, um die Nutzung von Telegram einzuschränken, jedoch nur mit begrenztem Erfolg, wie die Behörden einräumen. Dann versuchten die russischen Behörden Druck auf Apple und Google auszuüben, um Telegram aus ihren jeweiligen lokalen App-Stores entfernen zu lassen. Die Vorgehensweise gleicht der, die bereits für VPN-Technologien angewandt wurde: die Technologie verstoße unter anderem gegen die Zensurgesetze Russlands. Auch die Argumentation für das Vorgehen ist dieselbe: Die App werde genutzt, um terroristische Aktivitäten zu planen und zu koordinieren. Daher müsse diese durch die Behörden kontrollierbar sein. Wollte man sich den russischen Gesetzen beugen, wären VPN und Verschlüsselung zwar nicht per se verboten, aber obsolet: Behörden wollen sich die Möglichkeit erhalten, trotz Verschlüsselung und Anonymisierung, Nutzer eindeutig zu identifizieren. Genau dies sollen Verschlüsselung und Anonymisierung jedoch verhindern. So sollen auch alle Messenger-Dienste nach dem Willen der russischen Gesetzgeber an die Telefonnummern gebunden werden, die einem Benutzer eindeutig zugeordnet werden kann.

Fragliches Vorbild

Bereits in dem oben verlinkten Artikel haben wir schwere Bedenken zu dieser Vorgehensweise geäußert. Diese werden nunmehr bestärkt – hier wird ein weiterer gefährlicher Präzedenzfall für ein Verbot des Schutzes der eigenen Privatsphäre geschaffen. Auch in Deutschland gibt es bereits Vorstöße, die es Strafverfolgungsbehörden erlauben sollen, in begründeten Fällen verschlüsselte Kommunikationswege überwachen und Kommunikation mitlesen zu können. Das bayrische Polizeigesetz sieht dies explizit vor, ebenso der Entwurf des Polizeigesetzes für Nordrhein-Westfalen

Es sei noch einmal in aller Deutlichkeit gesagt: Nicht nur ich selbst, sondern auch zahlreiche andere IT-Sicherheitsexperten halten dieses Vorgehen für absolut gefährlich und nicht zielführend. Bereits die VPN-Gesetzgebung wurde von vielen Seiten scharf kritisiert (siehe dazu auch den SecurityBlog-Artikel „Anonymität – ein Verbrechen?“).

Untergrabung der Sicherheit - im Namen der Sicherheit

Es gibt keine Anzeichen dafür, dass kriminelle Aktivitäten aufgrund von Überwachungsdruck zurückgehen. Zudem erschüttern Maßnahmen wie das Verbot verschlüsselter Kommunikation nachhaltig das Vertrauen von Bürgern in ihre Regierung. Umso wichtiger ist es, die Diskussion um diese Vorgehensweise laut und vor allem öffentlich zu führen – doch genau das passiert nicht, obwohl es gerade jetzt am wichtigsten wäre. Die Tatsache, dass das öffentliche Echo auf solche Vorstöße sich so verhalten ausnimmt (wenn man frühere Diskussionen um ähnliche Themen betrachtet), ist alarmierend und zeigt, dass Viele in Bezug auf das Thema diskussionsmüde geworden sind – man könnte sogar so weit gehen zu sagen, dass man lieber etwas mehr Unsicherheit in Kauf nimmt, wenn das subjektive Sicherheitsempfinden davon profitiert. Dass Maßnahmen, die die Privatsphäre systematisch unterwandern, so gut wie ausnahmslos immer mit angeblichen Sicherheitsbedenken gerechtfertigt werden, sollte Zweifel wecken und die Frage stellen lassen, wem diese Regelungen tatsächlich nützen. Bisher wurde nämlich noch nie eine diesbezügliche Regelung wieder zurückgenommen, wenn sie sich als wirkungslos erwiesen hat.



Tim Berghoff

Tim Berghoff

Security Evangelist

Mehr erfahren

Artikel teilen

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein