Vertrauenswürdige Dienstleister und sichere Serverstandorte Server zwischen Offshore und Alpen

Autor / Redakteur: Dirk Srocke / Peter Schmitz

Um anonym zu surfen braucht es technische Verfahren und vertrauenswürdige Partner. Wir zeigen, wie diese zu finden sind und an welchen Orten man Server am sichersten betreiben kann.

Firma zum Thema

Wenngleich andere Orte vermeintlich für mehr Sicherheit stehen setzen Experten auf deutsche Server.
Wenngleich andere Orte vermeintlich für mehr Sicherheit stehen setzen Experten auf deutsche Server.
(Bild: Srocke)

Wer anonym im Web surfen darf sich nicht allein auf technische Verfahren verlassen. Zusätzlich gilt es, politische und rechtliche Rahmenbedingungen zu beachten. Denn so ausgeklügelt die technischen Verfahren auch sein mögen, ganz ohne Vertrauen funktionieren sie nicht. So muss man VPN-Anbietern oder Tor-Nodes doch noch ein gewisses Vertrauen entgegen bringen. Selbst Mix-Kaskaden wären kein sicheres Werkzeug, wenn sich alle Mix-Betreiber oder alle anderen Mix-Nutzer gegen einen verschwören hätten.

Angesichts dieser Erkenntnis muss man nicht in Panik verfallen. Einige grundsätzliche Überlegungen helfen jedoch, die passenden Maßnahmen für die eigenen Sicherheitsbedürfnisse zu finden.

Hilfreiche Fragen hierfür lauten:

  • Welchem Rechtssystem will ich mich unterwerfen?
  • Gegen wen will ich mich schützen?
  • Wem vertraue ich dabei?

Wer sich gänzlich vom gesellschaftlichen Konsens entfernen will, ist am Besten in Darknets oder geschlossenen Peer-to-Peer-Umgebungen aufgehoben. Bei den folgenden Betrachtungen geht es jedoch ausschließlich um Nutzer des öffentlichen Netzes, die möglichst zuverlässig unentdeckt bleiben wollen. Hierfür braucht es vertrauenswürdige Dienstleister und sichere Serverstandorte.

Worte und Taten

Um abzuschätzen wie vertrauenswürdig einzelne Anbieter sind, kann man sich einerseits auf deren Leistungsversprechen verlassen. Bezüglich des von Steganos Software angebotenen VPN-Dienstes OkayFreedom versichert etwa PR-Manager Christian Huber etwa: "Wir speichern lediglich die Kontakt- und Kontodaten (Bezahlmethode) der Nutzer. Sonst wäre ein Geschäftsverhältnis ja gar nicht möglich. Als Premium-Kunde hat der Kunde eine Flatrate, unabhängig vom Datenvolumen. Die Volumensbegrenzung der Freemium-Nutzer erfolgt über einen Traffic-Zähler, wobei auch hier keine Inhalte erfasst, sondern lediglich das Volumen gezählt wird."

Wer wenig auf derlei Zusicherungen gibt, sollte sich am bisherigen Handeln des anvisierten Anbieters orientieren. Internetexperte und Rechtsanwalt Niklas Plutte emfiehlt beispielsweise: "Ich würde einen Dienstleister daran bewerten, wie er in der Vergangenheit agiert hat: Hat er Zugriffe geduldet, offen kommuniziert oder sich dagegen gewehrt?" Wie schwer dieser Ratschlag in der Praxis umzusetzen ist, zeigt das Ende des E-Mail-Dienstes Lavabit, den auch Edward Snowden genutzt hatte. Um die Nutzer zu schützen, hat Betreiber Ladar Levision das Angebot eingestellt. Inwieweit Behörden dabei Druck auf Lavabit ausübten deutet Levision in einer Notiz zur Einstellung des Dienstes an.

Schwierige Standortwahl…

Ähnlich schwierig gestaltet sich auch die Suche nach sicheren Server-Standorten. Konnten die USA noch bis zum NSA-Skandal als sicherer Standort gelten, ist dieses Vertrauen nun tief erschüttert. So tief, dass sich Sicherheitsexperten mittlerweile auf gar keinen sicheren Platz für Server festlegen wollen – ganz gleich auf welchem Erdteil.

…am Beispiel Schweiz

Als sicheres Refugium gilt in der allgemeinen Wahrnehmung derweil die Schweiz, ihres Zeichens Wahlheimat des einst erfolgreichen Sharehosters RapidShare, den Kritiker urheberrechtliche Vergehen vorwerfen. Nicht zufällig werden auch Geeksphone und Silent Circle den Standort für ihr gemeinsames Krypto-Projekt Blackphone gewählt haben.

Allgemein betonen Anbieter in diesem Zusammenhang gern eine helvetische Tradition des Respekts vor der Privatsphäre und ein entsprechendes Rechtssystem. Andrew Staples, PR Manager des VPN-Dienstleisters Golden Frog, verweist zudem auf ein Urteil des Schweizer Bundesgerichts. 2010 habe dieses festgestellt: IP-Adressen sind persönliche Daten und dürften nicht ohne Wissen des Besitzers getrackt werden.

Schärfere Gesetze und Rechtshilfe

Bei näherem Hinsehen bekommt das zunächst überzeugende Gesamtbild jedoch tiefe Risse. So befindet sich das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) derzeit in Revision und soll erheblich erweitert werden. Überwachungspflichten sollen künftig nicht nur für Fernmelde- und Internet-Zugangsanbieter gelten, sondern auch für Anbieter abgeleiteter Dienste. Gemeint sind damit auch Betreiber von VPN-Servern. Ausgeweitet werden sollen zudem die Dauer der Vorratsdatenspeicherung und die Kompetenzen des Nachrichtendienstes des Bundes (NDB).

So stellt dann auch der schweizer Rechtsanwalt Martin Steiger fest: "Bezüglich behördlicher Ermittlungen bietet die Schweiz nüchtern betrachtet keinen Standortvorteil zu Deutschland." Dabei verweist Steiger auch gleich noch auf mögliche Rechtshilfeersuchen. Außer bei Bagatelldelikten seien diese meist erfolgreich.

Auf der Suche nach Alternativen abseits des Festlandes könnten Websurfer auf Offshore-Angebote stoßen. Steiger sieht jedoch auch derlei Offerten ausgesprochen kritisch. "Offshore lassen sich lediglich Serverbetreiber schwerer fassen; Nutzer gewinnen wenig und müssen sich weiter selbst schützen."

Folgerichtig empfiehlt der deutsche Rechtsanwalt Niklas Plutte: "Ich würde Anbieter mit Serverstandort in Deutschland oder zumindest Europa empfehlen. Lässt man den Geheimdienstskandal wegen seiner weltweiten Auswirkungen einmal außen vor, sind die rechtlichen Anforderungen an Datenschutz und IT-Sicherheit in Europa und speziell Deutschland wohl weiter führend im Vergleich zum Nicht-EU-Ausland, und zwar ausdrücklich auch im Vergleich zu den USA."

Strafprozessordnung, Zufallsfunde, Abmahnungen

Deutschland bietet derzeit sogar noch den Standortvorteil einer nicht gesetzlich geregelten Vorratsdatenspeicherung. Wer sich hiesigem Recht unterordnen will, sollte allerdings einen Blick auf § 100a StPO werfen. Dort werden konkrete Straftatsverdachtsmomente angeführt auf Grund derer Richter eine Tk-Überwachung anordnen dürfen. Urheberrechtsverletzungen gehören nicht dazu.

Die Möglichkeit zur Verwertung von Zufallsfunden soll an dieser Stelle ebensowenig erörtert werden, wie die Verknüpfung von IP-Adressen mit Anwenderdaten im Fall der RedTube-Abmahnwelle.

Anonymisierung in der Praxis

Im dritten Artikel dieser Serie unterziehen wir Anonymisierungstechniken einem Praxis- und Usability-Test, um zu untersuchen, wie komfortabel sie sich im Alltag nutzen lassen.

(ID:42635678)