Skip to content

Kommentare zur NSA, Edward Snowdens Mails und TrueCrypts Einstellung

Wirklich Kommentierenswertes ist in der vorigen Woche eigentlich wenig passiert. Zum Ransomware-Angriff auf iCloud-Nutzer habe ich schon etwas geschrieben, und ansonsten gibt es eigentlich nur noch zwei wichtige Themen, beide mit NSA-Bezug: Die Veröffentlichung einer Mail Edward Snowdens durch die NSA, um etwas zu beweisen, was sich so nicht beweisen lässt. Und das mysteriöse "Verschwinden" von TrueCrypt. An dem die NSA ebenso schuldig wie unschuldig sein kann.

Mails sind kein Beweise, von der NSA erst recht nicht

Die NSA veröffentlicht eine E-Mail von Edward Snowden und will damit beweisen, dass er sich nicht intern über die Schnüffelaktionen beschwert hat. Und beweist damit rein gar nichts. Und kann das auch gar nicht. Denn:

  1. Wenn es E-Mails mit Beschwerden gibt, muss sie die ja ganz einfach nicht veröffentlichen. Die veröffentlichte Mail (PDF) ist eine Nachfrage, welche Regelungen wann gelten. Gut möglich, dass Edward Snowden auf die Antwort darauf seine Beschwerden los geschickt hat.
    Eine Nachfrage beweist rein gar nichts. Ich habe auch schon des öfteren nachgefragt, bevor ich eine blödsinnige Idee zerpflückt habe. Aus der Nachfrage zu schließen, dass ich die Idee gut finde, ist bisher niemandem eingefallen.
  2. Eine E-Mail beweist gar nichts, so lange sie nicht signiert ist. Wer beweist denn, dass die NSA die E-Mails (die ja anscheinend erst nicht auffindbar waren und jetzt doch aufgetaucht sind) nicht gefälscht hat?
    So lange keine Header gefordert sind kann ich mit Leichtigkeit eine E-Mail fälschen, in der Barack Obama während der Zahlungsunfähigkeit der USA Dagobert Duck angeboten hat, seinen Job zu übernehmen. Wenn Header gewünscht werden, müsste ich passen, dafür bräuchte ich eine Mail vom US-Präsidenten als Vorlage. Aber die NSA hat sicher genug Mails von Edward Snowden.
  3. Selbst mit Signatur wäre eine E-Mail in diesem Fall wertlos. Damit könnte Edward Snowden beweisen, dass er sie geschrieben hat und dass sie unverändert ist. Aber nicht, dass sie überhaupt abgeschickt wurde. Oder empfangen wurde. Vom gelesen werden ganz zu schweigen.

Wenn ich beweisen will, dass jemand einen Text erhalten und gelesen hat, ist eine E-Mail völlig ungeeignet.
Und wenn ich beweisen will, dass jemand mir etwas nicht geschrieben/geschickt hat, wird es erst recht kompliziert.

Ich kann abstreiten, je eine entsprechende Mail erhalten zu haben. Aber wie sollte ich das beweisen können? Mit einem Logfile meines Mailservers? Das kann ich gefälscht haben. Mit der Aussage aller in Frage kommenden Mail-Empfänger? Die kann ich zur Falschaussage gezwungen haben oder sie können freiwillig lügen. Wie sonst?

"Nichts" kann man nun mal nicht beweisen, weshalb ja im Allgemeinen vor Gericht auch "etwas" bewiesen werden muss und nicht das nicht existieren dieses "etwas".

TrueCrypt - Ein mysteriöses Ende und Spekulationen ohne Ende

TrueCrypt wurde unter mysteriösen Umständen eingestellt. Oder wie auch immer man das nennen will. Über die Gründe kann man nur rätseln. Haben die Entwickler einfach die Schnauze voll? Oder haben sie von der NSA "einen auf die Schnauze bekommen"? Oder wurde die Seite gehackt? Oder - ach, was weiß denn ich, es gibt sicher noch etliche mögliche Erklärungen. Das Problem ist: Bis auf die TrueCrypt-Entwickler weiß keiner, was los ist. Und keiner weiß wirklich, wer die TrueCrypt-Entwickler sind.

Was zu der Frage führt, ob die NSA überhaupt einen National Security Letter rechtlich korrekt zustellen könnte. Denn ich vermute mal, der muss an einen ganz bestimmten und für den jeweiligen Sachverhalt zuständigen Empfänger gerichtet sein. Allein schon, um ihn überhaupt zustellen zu können.
Eine öffentliche Zustellung scheidet aus, weil der Inhalt des National Security Letter geheim gehalten werden soll. Und auch die Zustellung an irgend einen Vertreter wäre meines Erachtens nicht wirklich zielführend. Was soll der damit machen? Den Brief weiterleiten oder die Zuständigen anderweitig informieren ist ihm ja verboten, er darf ja nicht darüber reden, dass er den Brief überhaupt erhalten hat.

Im Zweifelsfall wird das die NSA aber kaum weiter stören. Die Allgemeinheit weiß zwar nicht, wer die TrueCrypt-Entwickler sind, aber ich vermute, die NSA weiß das sehr genau. Immerhin nutzen die etliche Angebote von US-Unternehmen, und dabei werden schon genug Daten angefallen sein, um die NSA auf ihre Spur zu bringen. Und was das rechtlich einwandfreie Zustellen so eines National Security Letters betrifft - mit dem Einhalten von Gesetzen nimmt es die NSA ja bekanntlich nicht so genau. Die interpretiert sie doch recht kreativ zu ihren Nutzen um, also wird man im Zweifelsfall auch einen Weg finden, den TrueCrypt-Entwicklern auf die Pelle zu rücken. Wenn das überhaupt wirklich nötig ist, immerhin werden truecrypt.com/.org in den USA gehosted, und auch Sourceforge ist ein US-Unternehmen. Und denen kann die NSA einen National Security Letter schicken und sich darüber Zugriff auf die TrueCrypt-Ressourcen verschaffen.

Allerdings wäre das alles ziemlich kontraproduktiv. Wenn überhaupt, müsste der National Security Letter doch dazu genutzt werden, zum einen eine Hintertür in TrueCrypt einzubauen und zum anderen die Entwickler zum unauffälligen Weitermachen zu zwingen. Seit der Einstellung von Lavabit weiß die NSA ja, dass so ein Brief durchaus auch den gegenteiligen Effekt des Erwünschten haben kann. Es würde mich sehr wundern, wenn die Briefe weiterhin nur einen Passus wie "Sie müssen diesen Brief geheim halten und dürfen mit niemanden darüber reden" enthalten. Vermutlich steht inzwischen auch drin, dass der Empfänger auch sonst nichts tun darf, um den Zweck des Briefs zu unterlaufen.

Carsten Eilers

Trackbacks

Keine Trackbacks