Die Hoffnung ist, dass du inzwischen wirklich begonnen hast, die Dienste unter die Lupe zu nehmen, die du tagtäglich nutzt. Vielleicht hast du ein paar SSL-Tests auf den Websites laufen lassen, bei denen du dich anmeldest, oder dir einige Datenschutzerklärungen angesehen, um zu verstehen, wie sie mit deinen Informationen umgehen, oder du bist sogar so weit gegangen, sie zu kontaktieren, um ein paar Details zu den Verschlüsselungsstandards zu erfahren, die sie einsetzen. So oder so beginnst du, die Dienste, die du nutzt, auseinanderzunehmen, um zu sehen, was wirklich unter dem Teppich liegt. Eine weitere richtig gute Methode dafür ist, nicht direkt zum Unternehmen zu gehen, sondern zu anderen Quellen im Internet. Typischerweise, und das zu Recht, werden diese zugunsten ihres eigenen Dienstes voreingenommen sein, besonders wenn es bedeutet, dass sie damit Geld an dir verdienen könnten. Diese Unternehmen sind also vielleicht nicht ganz ehrlich. Eine kleine Notlüge hier und da hat noch niemandem geschadet, oder? Falsch! Sie schadet dir. Geh also zu den Unternehmen für die kleinen Details, aber nimm dann das Internet zur Hand, um ein größeres, breiteres Bild davon zu bekommen, was wirklich unter dem Teppich liegt. Tippe “ist [HIER FIRMA/DIENST] sicher” bei Google ein und schau, was dabei herauskommt. Hier ist eins als Beispiel: https://www.google.com/search?q=is+bitlocker+safe. Der allererste Link, der erscheint, wenn ich darauf klicke, trägt den Titel “Can the NSA Break Microsoft’s BitLocker?”.
Nicht jedes Unternehmen, das du nutzt, wird zu 100 % perfekt sein, wenn es darum geht, deine Online-Identität zu sichern, deine Informationen, Daten und Kommunikation privat zu halten oder dir einen umfassenden Schutzschild der Anonymität zu bieten. Aber du solltest dich trotzdem mit den Unternehmen befassen, die genau das zu tun behaupten. Nimm zum Beispiel Wickr und Signal. Sie sind Paradebeispiele für Unternehmen, die sehr proaktiv unser Recht auf Privatsphäre im Internet schützen, aber einige “Schwächen” haben, die wirklich erst sichtbar werden, wenn wir den Teppich anheben. Zunächst einmal ist Wickr nicht quelloffen. Was an sich schon die größte Schwäche des Unternehmens ist. Du kannst nicht überprüfen, dass sie keine Hintertür für einen Dritten eingebaut haben. Du kannst nicht bestätigen, dass die Verschlüsselung, die sie verwenden, so stark ist, wie sie behaupten. Und du kannst für ihre Beweggründe nicht im selben Maße bürgen wie bei einem Unternehmen wie Open Whisper Systems, das Signal betreibt und entwickelt. Auf der anderen Seite ist aber auch Signal kein Wunderprodukt. Es springt durch Reifen und erklimmt Berge, um unsere Kommunikation sicher und privat zu halten, hat ein verdammt starkes Verschlüsselungsrückgrat UND bekennt sich zu einem quelloffenen Unternehmensmodell. Doch trotz all dieser Privatsphäre und Sicherheit geht die Anonymität, die wir brauchen, in dem Moment verloren, in dem wir unsere Telefonnummer eingeben und sie als Methode für andere verwenden müssen, uns sicher zu kontaktieren. Das würde bedeuten, dass ich meine Handynummer in einer öffentlichen Form posten müsste, etwa auf meiner Website oder in meiner Twitter-Bio, damit mich jemand über Signal erreichen kann. Das passiert nicht, niemals. Meine Handynummer ist nichts, was öffentlich bekannt sein sollte. Würde sie öffentlich bekannt werden, wären meine Online-Identität und persönliche Sicherheit dahin.
Datenschutz von Grund auf, aus Überzeugung oder beides?
Sobald du anfängst, die Unternehmen auseinanderzunehmen, die du nutzt oder die du in Zukunft zu nutzen erwägst, solltest du ein Gefühl dafür bekommen, welche Unternehmen ihre Produkte von Grund auf sicher, privat und anonym bauen, welche Unternehmen sie sicher, privat und anonym bauen, aber aufgrund ihrer eigenen Entscheidung, keine Informationen offenzulegen, und welche beides tun. Wickr wäre ein Unternehmen, das es aus Überzeugung tut, denn es scheint sich voll und ganz dafür einzusetzen, für unser Recht auf Privatsphäre einzutreten, kann es aber nicht zu 100 % beweisen, weil ihm ein quelloffenes Produkt fehlt. ProtonMail wäre ein Unternehmen, das beides tut. Es hat einen Dienst entwickelt, der von Grund auf sicher ist, und entscheidet sich dafür, Werte und Überzeugungen hochzuhalten, die unsere Privatsphäre in der digitalen Welt schützen.
Idealerweise ist die Wahl von Produkten und Diensten, die beides tun, der richtige Weg. Die Menschen hinter den Kulissen müssen jetzt Produkte herstellen, die von Grund auf sicher sind. Mir gefällt der Begriff, der in der jüngsten Auseinandersetzung zwischen dem FBI und Apple um das Telefon von San Bernardino verwendet wurde:
- https://www.apple.com/customer-letter/
- http://www.zdziarski.com/blog/?p=5645
- https://en.wikipedia.org/wiki/FBI%E2%80%93Apple_encryption_dispute
Ich kann nicht mit Sicherheit sagen, wer es war, aber in meinem Twitter-Feed tauchte der Begriff “Warrant Proof” auf, und meine Güte, wie ich den liebe. Der Grundgedanke hinter dieser Bezeichnung ist, dass ein Unternehmen etwas entwickelt, das nicht einmal ein Durchsuchungsbefehl knacken wird. Was richtig großartig ist, denn es zeigt sowohl die Verpflichtung des Unternehmens, ein Gerät zu bauen, in das nicht einmal sie selbst hineinkommen, als auch ihre Hingabe, gute Prinzipien hochzuhalten, die danach streben, ihre Kunden und Nutzer zu schützen.