Nicht mein Bedrohungsmodell

Die Lektüre von Kommentaren unter Artikeln auf heise.de (muss ich das jetzt wirklich verlinken? Nö…) habe ich mir ungefähr nach dem 37. Kommentar der Machart „Selber schuld – schmeiß Windoof von der Kiste und installiere lieber [insert völlig obskure Linux-Distro, von der noch nie einer was gehört hat, here]“ abgewöhnt. Aber in ein paar Foren, die sich mit der Sicherheit im Netzraum beschäftigen, lese ich ganz gerne mit und lerne dabei was. Dazu gehört beispielsweise das Kuketz-IT-Security-Forum von den Lesern von Mike Kuketz (ist übrigens auch im Fediverse unterwegs) oder das eher auf direkten Support ausgerichtete Userforum von mailbox.org, aber auch die Subreddits der beiden europäischen Maildienste, die in diversen Sicherheitsrankings immer weit vorne auftauchen: Tuta und Proton.

Nun kenne ich die Leute, die dort diskutieren, nicht, kann mir aber vorstellen, dass zumindest einige in Ländern leben, wohnen und arbeiten, in denen sich der jeweilige Staat viel intensiver mit den Gedanken (online und offline) beschäftigt, als das in, sagen wir: Westeuropa der Fall ist – und deshalb echte Angst um ihre Daten haben. Hier, also im Wirkungsbereich des Bundesnachrichtendienstes – um nur ein Beispiel zu nennen – finde ich staatliche Neugier zwar nicht wirklich begrüßenswert, aber längst nicht so bedrohlich wie die (von mir, ich geb’s zu, unterstellte) Unfähigkeit der Dienste, auf die gesammelten Daten auch schön aufzupassen, damit sie nicht in noch falschere Hände geraten.

Klein, Du bist heute ein Zyniker.

Wo war ich? Ach ja: Zu den vernünftigsten und damit auch erfreulichsten Diskussionsbeiträgen in den genannten Foren gehören für mich diejenigen, die auf entsprechende Fragen von Usern, die sich online bespitzelt fühlen oder Sorge haben, bespitzelt zu werden, nicht mit absoluten Ratschlägen („Benutze X, alles andere ist vorgegaukelte Sicherheit!“) antworten, sondern mit der Empfehlung, vor einer Entscheidung gegen einen Dienst und für einen anderen das ureigene, persönliche Bedrohungsmodell (en.: threat model – einen deutschsprachigen Wikipedia-Artikel gibt es derzeit nicht) zu betrachten: Ist der Mensch im Visier böser Mächte? Was droht ihm von diesen Mächten, die in vielen Ländern, möglicherweise auch den Heimatländern verunsicherter Reddit-Diskutanten, sehr real agieren? Was sollen die Mächte keinesfalls wissen etc.? Und wenn das Bedrohungsmodell etwas klarer ist: Welche Dienste, Mittel, Methoden helfen dagegen?

Ich sollte keine Witze machen

In einer Sendung meines Arbeitgebers habe ich auf die Frage nach der (abhör-) sichersten Kommunikationart mal vorgeschlagen, ein Zwiegespräch im Wald, um Mitternacht, bei Sauwetter anzuberaumen. Ja, es war als Witz gemeint, aber leider hat niemand gelacht. Trotzdem ist ein solches Treffen privater als, sagen wir, ein Nachrichtenaustausch über Telegram, bei dem beide Seiten vergessen haben, die Verschlüsselung zu aktivieren.

Ja, ich bin heute ein Zyniker.

Mein persönliches Bedrohungsmodell dagegen… Nun, ich denke, mit meiner bürgerlich-liberalen Grundeinstellung („liberal“ im Sinne von „freiheitlich“, keinesfalls im Sinne von „FDP“!) muss ich mir über staatliches Interesse an meiner Person keine großartigen Illusionen machen. Und trotzdem fühle ich sowas wie eine Bedrohung: nicht von staatlicher Seite, sondern von kommerzieller. Das Anfertigen von Verbraucherprofilen durch große und kleine Werbefirmen macht mir, doch ja: Sorgen. Dabei ist es weniger die Aussicht auf personalisierte Werbung – die ist immer noch so grottenschlecht gezielt, dass es fast lustig wäre, wenn mein Adblocker sie denn durchließe. Aber die Idee, dass jemand meine Gesundheitsdaten abzapft, mit meinen Konsumgewohnheiten verknüpft und an meine Versicherung verkauft, finde ich unschön. Nur ein Beispiel.

Bedrohung ist ein großes Wort

Mein persönliches Bedrohungsmodell – ach Gott ja, „Bedrohung“ ist so ein großes Wort… – hat dafür gesorgt, dass inzwischen alle Daten, die ich selbst in der Cloud speichere – und das sind eigentlich alle, auf die ich vom Telefon ebenso zugreifen will wie vom iPad oder vom PC -, verschlüsselt abgelegt werden, dass ich mich von als Datensammlern bekannten Diensten von Google über GMX bis – Apple (?) mehr und mehr verabschiede, und dass ich mich ein klein wenig ärgere, wenn ich Mails an – an sich kluge – Menschen schicke, die das dann offen oder mit eigener Domainadresse über GMail laufen lasse. Haben die schon resigniert? Oder sieht deren threat model so ganz anders aus als meines?

OK, hier bin ich also, in dieser Nacht im März 2024: aktiv, um mein On- und mein Offlineleben vor einer Industrie zu verbergen, eher desinteressiert, wenn es um staatliche Neugier geht.

Und dann gibt es noch den Grund, weshalb ich das hier um Mitternacht aufschreibe: Weil ich vor dem Schlafengehen noch ein paar Seiten in der Autobiografie von Edward Snowden (Wikipedialink für die ganz Jungen, die noch nicht wissen, wer das nun schon wieder war oder ist) mit dem Titel Permanent Record (Amazon-Link!) gelesen habe. Dieses Buch liegt bei mir schon länger rum und wird jetzt endlich gelesen. Ganz unproblematisch ist es natürlich nicht, weil Snowden alle Gründe der Welt hat, seine Entscheidungen und sein Handeln in einem möglichst positiven Licht darzustellen. Was mich aber am meisten beschäftigt, ist das, was schon im Titel des Buches angedeutet wird: Der record, also die Aufzeichnungen, die wer auch immer von dem macht, was wir so on- und offline treiben, ist verdammt permanent. Und was, wer auch immer unsere Daten hat, heute noch nicht lesen kann (z.B. weil wir oder die von uns genutzten Dienste es nach dem Stand der Kunst verschlüsselt haben), muss er oder sie nur lange genug aufbewahren – mit der Aussicht, den Kram irgendwann mit roher (Rechen-) Power oder womit auch immer doch noch lesbar zu machen.

Deshalb sitze ich um diese Zeit am Schreibtisch und schreibe Gedanken auf, anstatt friedlich im Bett zu razzen.

Nachtrag, ein paar Tage später: Das Prinzip der Publikumsbeschimpfung funktioniert nur so mittelprächtig. Ich weiß, dass eine ganze Reihe meiner treuen Leser selbst GMail-Nutzer sind, und vielleicht finden sie es ja doof, dass ich GMail doof finde. Jedenfalls: crickets.