Als Edward Snowden 2013 mit seinen Enthüllungen die Globale Spionage- und Überwachungsaffäre auslöste, gelang es der Open Source-Bewegung irgendwie auf diesen Zug aufzuspringen und sich als Lösung zu präsentieren. Was für ein Mythos!
Ich hatte das Thema schon wieder ein bisschen aus dem Blickfeld verloren. Dankenswerterweise brachte mich eine Ergänzung unter meinem Artikel zu Custom ROMs wieder darauf. Ein paar Grundgedanken habe anschließend schon in der Empfehlung zu einer privaten Risikoanalyse festgehalten. Wer wirklich glaubt, staatliche Überwachung wäre sein größtes Problem, hat eine verkürzte Risikoanalyse betrieben. In diesem Artikel möchte ich mich trotzdem vor allem auf den Aspekt Überwachung konzentrieren.
Das Thema ist gewaltig und füllt ganze Handbücher. Hier können nur einige Aspekte angerissen werden und diese stehen vielleicht etwas inkonsistent nebeneinander. Trotzdem wollte ich das hier mal thematisieren, um mit dieser Grundannahme „Open Source schützt vor Überwachung“ aufzuräumen.
Tracking durch Firmen ungleich staatliche Überwachung
Es ist schon extrem schwer, Datenschutz gegenüber den global agierenden IT-Konzernen mit ihrer umfassenden (Telemetrie-)Datenerhebung durchzusetzen. Das liegt einfach daran, dass man diesen Konzernen nicht so einfach aus dem Weg gehen kann. Dazu gibt es am Beispiel Google eine sehr empfehlenswerte Analyse.
Konzerne wie Google arbeiten aber nur im Rahmen ihrer Möglichkeiten. Manchmal vielleicht in rechtlichen Graubereichen, aber sicher nie offen illegal. Sie können Daten erheben, sie können Dritte dazu bewegen, Daten für sie zu erheben, sie können Firmen aufkaufen, um an Daten zu kommen oder sie können sich am schnöden Datenhandel beteiligen. Nutze ich die Dienste einer Firma nicht und bewege mich sehr umsichtig im Netz, habe ich gute Chancen, mein digitales Profil bei dieser Firma klein zu halten. Wie klein, ist wieder abhängig von der Firma. Google und Facebook haben vermutlich trotzdem Daten. Kleinere Unternehmen vielleicht tatsächlich nicht.
Wirklich interessant ist aber der Irrglaube, dass man mit Open Source den Überwachungsprogrammen der Geheimdienste entgehen kann. Die Grunde für diesen Irrglauben bildet das PRISM-Programm. Denn Teil der durch Snowden offen gelegten Dokumente Überwachung war auch PRISM und wir wissen, dass US-Firmen in einem gewissen Maße Daten an die Geheimdienste weitergeben (müssen). Open Source Software wie Linux ist mit diesen Firmen weniger verwoben als beispielsweise Windows oder macOS. Das war es aber schon.
Datenerhebung durch Firmen ist nicht das gleiche wie staatliche (Massen-)Überwachung und sollte auch nicht argumentativ vermischt werden.
Operationen zur Massenüberwachung
Jeder, der irgendwie im Jahr 2013 dem Mythos „Open Source hilft gegen Überwachung“ aufgesessen ist, sollte sich noch einmal den entsprechenden Wikipedia-Artikel zu den Enthüllungen von 2013 (ist auch schon wieder eine Weile her!) durchlesen. Wir wissen dadurch, dass die Geheimdienste mehrerer Staaten unter anderem folgende Maßnahmen zur Überwachung durchführen:
- Die NSA betreiben ein Rechenzentrum, das theoretisch groß genug ist um die Kommunikation der Weltbevölkerung zu speichern. Es gibt bekannte Programme um den Telefonverkehr kompletter Länder mitzuschneiden.
- Die Geheimdienste der Five Eyes schneiden den Datenverkehr direkt an den Seekabeln mit.
- Mehrere Daten wie z. B. Frankreich oder Brasilien speichern in großem Umfang die Metadaten der Internetnutzung und Kommunikation der Bevölkerung.
- In Deutschland lauscht der BND am Frankfurt Internetknoten DE-CIX.
- Die NSA nutzt hortet Sicherheitslücken und nutzt diese gezielt aus. WannaCry war sicher nur ein Beispiel von vielen.
Diese Liste ließe sich fast endlos fortführen. Und das ist mehrheitlich der Stand von vor 2013, also mittlerweile mindestens 8 Jahre her. Eine Ewigkeit bei dem Tempo der aktuellen Entwicklung. Es umfasst auch nicht die chinesischen und russischen (semi-)staatlicher Cyberoperationen und deren Überwachungsprogramme. Es handelt sich dabei auch nur um die automatisierte Massenüberwachung der Menschheit und keine gezielten Aktivitäten gegen einzelne Individuen, bei denen – nach allem was wir an Informationen haben – Aufwand und Möglichkeiten noch einmal deutlich ansteigen.
Die alleinige Fokussierung auf PRISM ist also eine extreme Verkürzung.
Und diesem allumfassenden Überwachungsprogramm der besten Geheimdienste der Welt entgehe ich wirklich, indem ich ein Open Source-Betriebssystem nutze? Ernsthaft? Wer das glaubt, hat die Fähigkeit der Dienste und Dimension dieser Programme nicht ansatzweise begriffen. Er hat zudem ein idealisiertes Bild freier Software, das einem Realitätscheck nicht stand hält.
Warum sollte quelloffene Software vor Überwachung schützen? Die Argumentation dafür basiert auf ideologischen Scheuklappen und Fehlannahmen.
Allgemeine (Fehl-)Annahmen
1. Es geht nicht um dein Gerät
Automatisierte Massenüberwachung bedeutet nicht, dass Tausende Mitarbeiter sich händisch auf jedes Gerät einloggen und dort Kamera und Mikrofon aktivieren wie in einem schlechten Film. Dein Gerät interessiert niemanden. Folglich interessiert dein System auch niemanden. Es ist egal, ob du Linux, FreeBSD, macOS oder Windows nutzt.
Die Datenströme sind interessant und hier gibt es Unterschiede zwischen den Systemen. Das hängt aber massiv von der individuellen Konfiguration ab. Auch macOS oder Windows lassen eine erhebliche Reduktion des Datenabflusses zu und auch Linux lässt sich als wahre Datenschleuder betreiben.
2. Daten fallen bei den Diensten an
Wirkliche Datenmengen fallen bei den genutzten Diensten an. E-Mail, Videokommunikation, Cloud-Dienstleister – die Liste ließe sich endlos fortführen. Diese Datenströme sind auch im Fokus der automatisierten Überwachung. Es ist streng genommen egal was diese Dienste für Software vorgeben zu nutzen. Wir können es nicht nachvollziehen.
Wir kennen auch nicht die internen Qualitätsstandards, die politische Ausrichtung des Dienstes und ob das Land, in dem der Dienst betrieben wird, über irgendwelche legalen oder illegalen Maßnahmen Druck auf den Dienstbetreiber ausüben. Selbst deutsche Gesetze haben hier Überraschungen, als Stichwort sei hier die Vorgaben zur Ausleitung von Daten für E-Mail Anbieter genannt.
Der kleine Anbieter mit primär Open Source Software im Einsatz ist hier in keiner stärkeren Position gegenüber den staatlichen Behörden als Microsoft oder Apple. Er ist bestenfalls nicht so sehr im Fokus, aber das kann sich auch schnell ändern.
Die Reduktion der genutzten Dienste und die Reduktion der erzeugten Daten sind hier die Lösung.
3. Verschlüsselung, Verschlüsselung, Verschlüsselung
Wirklich relevant ist gute und aktuelle Verschlüsselung. Das war 2013 so und ist 2021 so. Zumindest sofern man noch nicht gänzlich der pessimistischen Sicht verfallen ist, dass besonders fähige Geheimdienste wie die NSA auch diese schon längst knacken können.
Verschlüsselung ist kein exklusives Vorrecht von Open Source und die wirkliche Gefahr geht hier nicht von fehlender Verschlüsselung, sondern durch schlechte Umsetzung aus. Zentrale Bibliotheken des Open Source-Ökosystems haben hier in der Vergangenheit nicht geglänzt. Es gibt auch genug Mischsysteme, wo grundsätzlich proprietäre Dienste auf quelloffene Krypto-Bestandteile setzen.
Es gibt somit keinen belastbaren Grund, dass freie Betriebssysteme hier prinzipiell im Vorteil wären.
Mythen über Open Source
1. Die Einsehbarkeit des Codes sagt nichts über die Qualität
Offen einsehbarer Quellcode gilt in vielen Kreisen als Synonym für sicher und vertrauenswürdig. Im Zuge der Debatte um Projekte wie die Corona Tracing App oder die Luca App hat sich das vermutlich nochmal verstärkt.
Freie quelloffene Software und ihre Entwicklungsprinzipien sind ganz sicher nett für einen vertrauenswürdigen und integren Code. Es können halt mehr Leute rein gucken und man vermeidet dadurch vielleicht doofe Fehler und schlechte Sicherheitskonzepte. Also durchaus Punkte, an denen Geheimdienste ansetzen könnten. Das ist ein Pluspunkt für quelloffene Software, den man nicht leugnen kann.
Guter Code und gute Sicherheitskonzepte sind aber kein Exklusivrecht von freier Software, auch Entwickler proprietärer Software können das. Das sollte man nicht pauschal in Abrede stellen. Es sind ja sogar oft die gleichen Menschen, die mal für freie Software beisteuern und mal für ein proprietäres Projekt arbeiten.
2. Es geht nicht um Hintertüren
Das Kernproblem ist hier aber ein Mythos. Warum sollte die Code-Einsicht denn bei der Frage staatlicher Überwachung so zentral sein? Wer glaubt, freie Software hilft gegen die Geheimdienste, sitzt der alten Verschwörungserzählung auf, diese würden heimlich Hintertüren in Software einbauen. Nach allem was wir an Informationen haben, ist das für die Dienste aber überhaupt nicht notwendig.
Denn wie wir oben bei den Überwachungsprogrammen gesehen haben, geht es primär um Infrastrukturen und diese unterliegen sowieso staatlicher Regulierung. Hier spielt Überwachung durchaus eine Rolle. Es geht also selten um die Betriebssysteme selbst.
Auf Ebene der Betriebssysteme und Software nutzen die Geheimdienste genaue Kenntnisse der Systeme und insbesondere das Horten von Sicherheitslücken. Für Letzteres hatten wir in den vergangenen Jahren genug Belege. Sicherheitslücken machen nicht halt vor freier Software.
Die Verschwörungserzählung der Hintertür befeuert letztlich den Mythos „Open Source hilft gegen Überwachung“ und schafft damit einen weiteren Mythos.
3. Die Grenzen der Transparenz
An dem Punkt kommt immer jemand, der sagt, dass man halt bei proprietärer Software nicht nachvollziehen kann, wie diese funktioniert und nur freie Projekte wären unabhängig. Argumentativ stehen dahinter zwei riesige Illusionen und eine Unterschlagung: Es ist die Illusion des einsehbaren Quellcodes, der Weltgemeinschaft „Open Source Community“ und die Behauptung der totalen Intransparenz proprietärer Software.
Die Einsehbarkeit freier Software beschränkt sich auf den zur Verfügung gestellten Code. Niemand kann mit Sicherheit sagen ob dieser auch wirklich zum Einsatz kommt, oder ob der Dienst nicht eine modifizierte Variante verwendet. Das gilt für den großen Konzern ebenso wie für den Wohnzimmer-Admin. Denn – wie oben schon gesagt – die Daten fallen bei den Diensten an.
Die Weltgemeinschaft „Open Source Community“ existiert zudem nicht oder nur als Idee. Jeder Entwickler hat eine Staatsangehörigkeit und viele Projekte haben festgelegte Rechtsformen und Registrierungen. Sie müssen sich ebenso den Gesetzen ihrer Herkunftsstaaten unterwerfen wie jede andere proprietäre Firma auch.
Diese beiden Illusionen ergänzt eine Unterschlagung. Befürworter freier Software zeichnen ein besonders negatives Bild der Analysemöglichkeiten proprietärer Software. Diese ist zwar sicherlich nicht so gut wie bei quelloffener Software, aber es ist ein Mythos, dass proprietäre Software alles machen könnte.
Zusammengefasst
Natürlich gibt es Software mit guten Sicherheitskonzepten und es gilt auch weiterhin, Daten, die nicht anfallen, können nicht abgegriffen werden. Es ist auch keine schlechte Idee Daten nicht frei Haus ins Internet zu stellen, weil die automatisierte Massenüberwachung primär auf den weltweiten Datenverkehr abzielt. Angriffe auf den einzelnen Anwender und seine Daten sind natürlich nicht die Regel.
Weil viele Anbieter proprietärer Software gleichzeitig massiv Datenerhebung betreiben (siehe oben) und diese quasi „auf die Reise“ schicken, sind diese oftmals keine gute Idee.
Das bedeutet aber nicht, dass proprietäre Software zwangsläufig schlechte Konzepte hat und durchweg nicht datensparsam funktioniert. Es bedeutet auch nicht, dass jeder Dienst im Umfeld der „Open Source Community“ automatisch super wären. Es kommt immer auf den Einzelfall an.
Noch mal zur Erinnerung: Wir haben es mit den größten jemals da gewesenen Überwachungsprogrammen zu tun, die von finanzstarken und fähigen Geheimdiensten verwirklicht werden. Wer wirklich glaubt, er könne sich davor mit dem Einsatz von Open Source Software und freien Systemen wie Linux oder AOSP-Android schützen belügt sich selbst.
Es gibt sicherlich hundert gute Gründe für freie Software und freie Systeme wie Linux oder AOSP. Den Schutz vor staatlicher Überwachung sollte man aber lieber aus der Liste streichen.
Eine gute Nachricht zum Schluss: Man steht sicher auch nicht schlechter da, wenn man Linux oder ein freies Android nutzt.
Du hast ja vollkommen recht, dass Open Source Software per se keine Lösung der Überwachungsproblematik ist. Aber die Möglichkeit den Code von Software zu kontrollieren ist eine Voraussetzung überhaupt einen direkten Einfuss auf die Datensicherheit zu haben. Ansonsten muss man sich auf den Staat und seine Datenschutzgesetze oder die IT-Konzerne und z.B. ihre proprietären Angebote zur Verschlüsselung verlassen.
Auch wenn niemand heutzutage seine Privatsphäre und seine Daten vollständig schutzen kann, hilft die FOSS-Bewegung mit, wenigstens im Einzelfall Möglichkeiten des unabhängigen Handelns zu erhalten und damit Sand in das Getriebe privater und öffentlicher Überwachung zu werfen. Auch die häufig gescholtene Diversität von FOSS macht es den Datensammlern nicht unbedingt leichter ;-). Ohne Open Source Software sähe die Welt in Hinsicht Datensicherheit und Überwachung bestimmt nicht besser aus.
Volle Zustimmung.
Es ging mir wirklich nur allgemein um den Irrglauben, dass Open Source im Allgemeinen und Linux im Speziellen automatisch als Maßnahme gegen Überwachung eignen.
Da hast Du natürlich vollkommen Recht, Open Source ist von sich aus nicht sicherer als Closed Source Software. Aber es gibt das vielleicht etwas mehr Potential ;-).
Etwas Off-topic: Teile die Argumente, bin Closed Source nicht verschlossen und komme in meinem Sektor auch nicht drum herum. Aber gerade am aktuellem Beispiel Luca zeigt sich, das Closed Source auch gerne mal genutzt wird, um sich mit „fremden Blumen“ zu schmücken 😉
In meinem Bereich würde ich da auch einigen Herstellern zumindest eine erschreckende Nähe/Nutzung zu diverser Open Source SW unterstellen ohne das diese genannt wurde. Klar, dicke Unterstellung, aber na ja. Vermutlich eine kleine Minderheit….
In Sachen Überwachung gebe ich zu, dass ich mit meinem gefährlichen Halbwissen keine wirkliche Chance habe. Möchte mir trotzdem die Illusion erhalten, nicht komplett auf dem Präsentierteller zu stehen.
Du hast natürlich recht. Die Gleichsetzung von Open-Source-Software und Sicherheit ist naiv. Ich weiß das und trotzdem ertappe ich mich dabei.
Du sprichst einen Punkt an, dass die gleichen Programmierer, die mit proprietärer Software ihre Brötchen verdienen, auch häufig an OSS-Projekten stricken. Ich nehme mal an, dass sie in beiden Fällen die gleichen Fähigkeiten einsetzen. Wenn also im OSS-Projekt Müll gebaut wird, was sagt das dann über die proprietäre Software? Im letzteren Fall nehme ich mal an, dass die Chance eher gering ist, dass da noch viele Leute sich den Code nach der Freigabe ansehen werden, solange er nicht irgendwann explodiert.
Das ist bei OSS nicht anders. Schau dir die ganzen Projekte mit nur 1-2 Entwicklern an und die ganzen Skandale in den letzten Jahren bei wichtigen Kernproblemen.
Mein Punkt war, dass Fulltime-Entwickler, die als Hobby schlechte OSS schreiben, vermutlich grundsätzlich schlechte Software schreiben, auch bei ihrem Brötchengeber. Außerdem weiß niemand, wie viele Entwickler tatsächlich an der proprietären Software werkeln. Die Größe der Firma sagt da erst einmal gar nichts aus. Selbst wenn Zahlen zu Projekten bekannt gemacht werden, kann keine überprüfen, ob die nicht gewürfelt wurden. Das ist bei OSS anderes, offener, ehrlicher. Wer nachsehen will, erfährt halt, dass er eventuell mit der Software eines 2-Mann-Projektes arbeitet. Das weiß er dann aber auch. Es gibt bei keiner Software – OSS oder proprietär – eine Garantie, dass sie bis zum Sankt Nimmerleinstag weiterentwickelt und gepflegt wird.
Benütze jetzt, was jetzt für dich funktioniert und wenn du umsteigen musst, dann tust du das eben. Nicht immer gleich den Software-Lieferanten heiraten wollen! Das hat uns diese Monokulturen ja eingebrockt.
OSS ist kein Qualitätsmerkmal, aber auch kein Stigma.
„Mein Punkt war, dass Fulltime-Entwickler, die als Hobby schlechte OSS schreiben, vermutlich grundsätzlich schlechte Software schreiben, auch bei ihrem Brötchengeber.“
Nein, nicht unbedingt. Aus meiner Erfahrung fehlt dir nach einem Fulltimejob als Entwickler, Zeit deine Open-Source-Projekte aktiv zu entwickeln. Und meist auch die Kraft. Das geht vielleicht noch wenn du 20 bist. Wenn du aber Familie hast, hast du nach dem Fulltimejob, einen anderen Fulltimejob. Du kannst dann nicht jeden Tag an deinen Projekten sitzen. Also vergeht Zeit zwischen den Sitzungen, also verlierst du den Fokus. Das kannst du irgendwie alles protokollieren, todos machen usw. Aber es ist nicht damit zu vergleichen, als wenn du jeden Tag 8-9 Stunden damit beschäftigt bist. Also machst du abstriche, setzt prioritäten und der Rest folgt irgendwann. So geht es nicht nur mir so.
Deshalb verstehe ich das, wenn viele Open-Source-Projekte nicht die Qualität erlangen, welches ihnen gewisse „Fans“ einfach so zu jubeln.
Ich sehe es so, ein offener Quellode keine ausreichende, aber trotzdem eine notwendige Bedingung Bedingung für sichere und vertrauenswürdige Software ist. Nicht zwingende unter einer OpenSource Lizenz, aber es muss möglich sein, die Code einzusehen und reproduzierbare Builds zu bauen.
Natürlich kann closed Source Software sicher sein, oft mag sie sogar sicherheitstechnisch besser sein, aber ich kann es eben nicht wissen.
Natürlich nutz die Offenheit wenig, wenn es keine systematischen Überprüfungen und Audits gibt, und wenn die builds nicht verifizierbar dem veröffentlichten Quellcode entsprechen. Die Mängel diesbezüglich in vielen auch sicherheitskritischen Opensource Projekten sind leider offenkundig.
Das muss sich dringend ändern, und dafür müsste es auch ein gesicherte Finanzierung und freiwillige Tester geben. Grade für die auch auch genannte Verschlüsselung Software. Die Verschlüsselungsalgorithmen mögen sicher sein, die Umsetzung in Software war es in der Vergangenheit leider oft genug nicht.
Die Hypothese, dass Geheimdienste eh alles knacken können, wird gerne von Menschen als Ausrede benützt, sich nicht damit beschäftigen zu müssen, weil es sinnlos sei. Das ist nicht so. Ich habe vor etwa 2 Jahren einen Artikel zu Quantencomputern gelesen, dass es ab kommerzieller Verfügbarkeit mindestens 25 Jahre dauern wird, bis sie endlich so schnell sein werden, heutige asymmetrische Transportverschlüsselungen in Echtzeit zu knacken – die dann nicht mehr im Einsatz sein werden. Bei symmetrischen Verschlüsselungen (Dateiverschlüsselungen) wird noch viel mehr Zeit vergehen, bis diese in annehmbarer Zeit gebrochen werden können.
Nicht vergessen darf man auch, dass es eher die Regel ist, dass Verschlüsselungen verschachtelt sind, etwa das verschlüsselte VPN im Homeoffice, über das verschlüsselt mit dem Mailserver kommuniziert wird, über den verschlüsselte E-Mails verschickt werden, die als Anhang eine verschlüsselte Datei haben. Knack das mal in Echtzeit, abgesehen davon, dass es nach der obersten Ebene „unpredictable“ wird, dh. es keine klare Regel mehr gibt, wie automatisiert weiter vorzugehen ist. Da ist dann also „Handarbeit“ gefragt.
Ganze Datenströme im Tb/s-Bereich sind ohnehin nicht automatisisert verarbeitbar. Gott sei Dank sind Überwachungsfanatiker so dumm, zu glauben, um sicher die Nadel im Heuhaufen zu finden, bestellt man am besten gleich eine ganze Eisenbahnladung Heu. Damit machen sie in Wahrheit Ermittlungsbehörden das Leben schwer, weil Kräfte sinnlos gebunden werden anstatt nach – wesentlich erfolgreicherer – „analoger“ Methode tätig zu sein.
Wenn, greifen Geheimdienste ganz gezielt Verbindungen heraus, von denen sie sich etwas versprechen, aber die beste Methode ist immer noch der Angriff an Quelle oder Ziel, wo sich auch die Sicherheitslücken befinden. Und sei es: die menschlichen, über die tatsächlich der größte Teil der Zugriffe funktioniert. (Wer denkt z.B. daran, dass die Putzfrau praktisch überall Zugriff hat? Oder wer vertraut nicht einem langjährigen Arbeitskollegen bei einem Bier mal etwas an, das ihn eigentlich nichts angeht?)
Und wie erklärst du dir dann die oben erwähnten Programme mit direkter Abschöpfung am Internetknoten oder an den Seekabeln? Diese Operationen sind schließlich belegt.