PrivacyBox
Über ein recht interessantes neues Angebot zum technischen Datenschutz berichtet heute heise News. Das Projekt mit dem Namen PrivacyBox, das von der German Privacy Foundation ins Leben gerufen wurde, richtet sich vor allem an Whistleblower und Journalisten, die ja zu den Hauptbetroffenen der neuen Überwachungsmaßnahmen, speziell der Vorratsdatenspeicherung, zählen.
Heise beschreibt die PrivacyBox folgendermaßen: Die mit Open-Source-Software programmierte Box ist ein mit jedem Browser zu erreichendes Web-Formular, das Journalisten, Bloggern sowie ihren Informanten und Hinweisgebern („Whistleblower“) eine anonyme und vorratsdatenfreie Kontaktmöglichkeit anbietet. Eine Art digitaler „toter Briefkasten“ also, der, da die ausgetauschten Inhalte auch intern verschlüsselt werden, einen von staatlicher Überwachung (hoffentlich) unbeobachteten Weg zum Informationsaustausch darstellt.
Die Bedienung mit Hilfe eines Web-Formulars soll auch über vergleichsweise wenig technische Fachkenntnisse verfügenden Menschen die problemlose Benutzung der PrivacyBox ermöglichen- eine in meinen Augen sehr wichtige Eigenschaft, denn allzu oft wird bei Angeboten und Projekten zum technischen Datenschutz die in der IT-Branche sogenannte Usability, also die möglichst intuitive und einfach erlernbare Bedienbarkeit, völlig außer acht gelassen und somit ein signifikanter Teil der Bevölkerung von der Nutzung dieser Angebote ausgeschlossen, obwohl diese Menschen selbstverständlich ebenso Opfer der staatlichen Überwachung sind, ebenso (möglicherweise wichtige) vertrauliche Daten zu schützen haben und ebenso wie jeder Mensch ein Recht auf Privatsphäre als Teil ihrer Menschenwürde haben. Insofern ist es sehr wichtig und begrüßenswert, dass die German Privacy Foundation diesen Punkt bei der Konzeption der PrivacyBox berücksichtigt hat (auch wenn ich über den Erfolg dieser Bemühungen noch nichts sagen kann; möglicherweise werde ich das Angebot demnächst testen).
Der Ablauf einer Kommunikation über die PrivacyBox soll laut heise-Artikel folgendermaßen aussehen: Über ein Kontaktformular kann ein Informant ein Pseudonym wählen, einen Journalisten oder Blogger anschreiben und eine maximal 600 KByte große Datei anhängen. Die Dateigrößenbeschränkung soll ausschließen, dass MP3-Dateien oder Bilder übertragen werden. Journalisten können ihre Box wiederum so einstellen, dass eintreffende Mails verschlüsselt gespeichert oder zu einem weiteren Postfach weitergeleitet und dort mit einem E-Mail-Client abgeholt werden, der OpenPGP beherrscht. Die German Privacy Foundation empfiehlt, zur Verbesserung der Anonymität bei der Nutzung der PivacyBox zusätzlich den Anonymisierungsdienst TOR zu verwenden.
Auch für die mit dem 1. Januar 2009 verbindlich werdende Internet-Vorratsdatenspeicherung hat man offenbar vorgesorgt; es ist dies Rede von einem „Konzept, bei dem die zur Speicherung anfallenden Daten drastisch reduziert sein sollen“.
Durch die Verwendung quelloffener Software ist eine recht gute Kontrollmöglichkeit für Außenstehende (zwar nicht den einzelnen Benutzer, aber Teile der Allgemeinheit) gegeben. Trotzdem agiert die German Privacy Foundation in gewisser Hinsicht als Trusted Third Party, was aber aufgrund ihrer größtmöglichen Unabhängigkeit von Staat und Wirtschaft und ihres ethischen und gesellschaftlichen Anspruchs in meinen Augen kaum ein Grund zur Beunruhigung ist.
Insgesamt erscheint die PrivacyBox wie ein lobenswerter und wichtiger Beitrag zur Wahrung der Pressefreiheit in Deutschland und dem vom Gesetzgeber leider momentan sträflich vernachlässigten Informantenschutz. Die German Privacy Foundation hat hier ein schlüssiges und sinnvolles Konzept erarbeitet, das sich wohltuend von den mitunter kurzschlüssigen, eher gut gemeinten als gut gemachten Aktionen abhebt, die man in diesem Bereich ja auch mitunter beobachten darf. Es gilt natürlich die Einschränkung, dass technische Maßnahmen niemals ein Ersatz für eine sinnvolle Gesetzgebung und gesellschaftliches Umdenken sein kann- jedoch ist er, gerade für die Arbeit von Berufsgeheimnisträgern, eine wichtige Ergänzung.
Hat das schon jemand erfolgreich ausprobiert? Ich habe mich dort angemeldet. Das Abholen mit Thunderbird durch Tor, per SSL gesichert (Pop3) funktioniert auch. Ich bekomme aber immer nur Buchstabensalat anstatt des Textes. Wie kann das sein? Ist bei denen die Zeichenkodierung defekt? Es spielt übrigens keine Rolle, ob ich bei denen in der Weboberfläche das Häkchen bei Verschlüsselung deaktivieren einschalte oder ausschalte.
Interessanter Bericht, ich habe das Ganze wie gesagt (noch) nicht getestet und kann zu dem Problem nichts sagen. Hat sonst vielleicht jemand schon Erfahrungen gemacht? Ansonsten werde ich wohl spätestens am Wochenende selbst einen Test machen.
Sei noch zu sagen, daß die PrivateBox-eigene Testmail ganz normal im Klartext ankommt. Nur die normalen Messages sind nicht lesbar, sondern sehen so aus: =-3434 –= rrtg=0-v—==0—af3__00 (…)
Also auffallend viel Minus und Gleichzeichen drin.
Sowas habe ich ja noch nie gesehen… PGP-Block ist das jedenfalls definitiv keiner.
Ob man mal mit deren Support Kontakt aufnehmen sollte?
Nein es ist kein PGP. Ich habe testweise einen öffentlichen Schlüssel von mir dort hochgeladen. Es werden also Nachrichten an mich mit diesem Schlüssel verschlüsselt. Die verschlüsselte Nachricht kommt auch an, lässt sich korrekt ohne Fehler von mir entschlüsseln, der Text sieht nach der Entschlüsselung wieder so aus wie von mir oben beschrieben.
Jetzt geht es. Nach einer Kontaktaufnahme mit dem Admin wurde der Fehler behoben. Man kann also jetzt mit Thunderbird, Tor, SSL gesichert seine Nachrichten problemlos abholen
Ich habe mal eine normale Mail mittels Interface verschickt, dauerte jedoch ein paar Stunden. So ein Projekt lebt also wohl auch dem Support in puncto Ressourcen.
Ja, so etwas wurde bei heise schon angedeutet, und ich kann mir vorstellen, dass gerade jetzt zu Anfang auch viele Leute einfach neugierig auf die Funktion der Box sind und die Serverlast dadurch sehr hoch ist. Trotzdem, vielleicht finden sich ja noch Unterstützer, das Projekt wäre es in meinen Augen wert.