16. Oktober 2013
Beunruhigende Dinge spielen sich in den USA rund um einige E-Mail-Provider ab. Im Auge des Orkans: der abhörsichere E-Mail-Dienst Lavabit, bei dem der NSA-Whistleblower Edward Snowdon einen Account hatte. Diese Tatsache war wohl der Grund dafür, dass die US-Regierung vom Lavabit-Gründer Ladar Levison die Herausgabe einiger Informationen wie Verbindungs-, aber auch Bank- und Kreditkartendaten verlangte.
Doch wie erst nach und nach bekannt wurde, da Levison unter Strafandrohung über die Vorgänge nicht sprechen durfte, ging es dem FBI nicht nur um Snowdons Account: Levison wurde zur Herausgabe aller öffentlichen und privaten Schlüssel aufgefordert, mit denen der SSL-geschütze Zugriff auf sämtliche Lavabit-Mailkonten gesichert wird. Damit hätte der E-Mail-Dienst nicht mehr sicher betrieben werden können, sämtliche 400.000 User-Accounts und E-Mailkommunikation wäre nicht mehr geschützt gewesen.
Levison wehrte sich zunächst und übergab die Daten nicht. Schließlich gab er dem Druck doch nach, übermittelte die Schlüssel aber in einer schlecht lesbaren Schrift auf Papier gedruckt, um das Lesen und Abtippen bzw. Scannen zu erschweren. Darauf hin setzte das Gericht eine tägliche Erzwingungsstrafe von 5000 USD an. Diese zahlte Levison zweimal – und entschloss sich dann, den E-Mail-Dienst ganz einzustellen, um eine Preisgabe sämtlicher Accounts und Daten an das FBI zu umgehen. In den Augen der Behörden kam dies fast einer Straftat gleich. Denn das FBI hatte plötzlich keine Möglichkeit mehr, Snowdons Kommunikation abzuhören. Dass Levsion sein Geschäft verlor und Snowdon unvermittelt keinen E-Mail-Account mehr hatte, war offenbar nebensächlich. Ebenso hätten die Behörden im Fall der Schlüsselherausgabe billigend in Kauf genommen, die privaten Daten und ggf. Firmengeheimnisse tausender unverdächtiger Kunden zu kompromittieren.
Vorgänge wie diese machen deutlich, dass es in den USA zwar engagierte und mutige Provider wie Levison gibt, sie dem Druck der US-Behörden letztlich aber wenig entgegenzusetzen haben. Das schwächt das Vertrauen in US-Mailprovider oder Cloud-Anbieter, denn als Nutzer muss man davon ausgehen, dass keiner der Betreiber die Einhaltung seiner Sicherheitsversprechen noch garantieren kann.
Es bleibt abzuwarten und wird sehr spannend zu sehen, wie Microsoft, Google, Yahoo, Apple, Facebook & Co auf derartige Einschränkungen ihres Handlungsspielraums durch die Behörden reagieren werden. In letzter Konsequenz bleibt hierzulande nur, auf all diese amerikanischen Dienste zu verzichten und auf Anbieter zu setzen, die ihre Daten im deutschen Rechtsraum lagern und verwalten.