Hacker Hernani Marques: «Mit der Büpf-Revision wird ein digitaler Totalitarismus eingeführt»
Hernani Marques ist Hacker und Mitglied des Chaos Computer Clubs Zürich. Für ihn ist klar, dass das neue Überwachungsgesetz keine Sicherheit schafft, sondern lediglich IT-Sicherheit zerstört. Ein Gespräch über Staatstrojaner, digitale Privatsphäre und Massenüberwachung.
«Das Internet wird zu einer kriminellen Zone gemacht, wo jeder Schritt überwachungswürdig scheint», sagt der Hacker Hernani Marques zur Büpf-Revision.
(Bild: Flurin Bertschinger)
Hernani Marques ist Hacker und Mitglied des Chaos Computer Clubs Zürich. Für ihn ist klar, dass das neue Überwachungsgesetz keine Sicherheit schafft, sondern lediglich IT-Sicherheit zerstört. Ein Gespräch über Staatstrojaner, digitale Privatsphäre und Massenüberwachung.
Früher habe man den Chaos Computer Club (CCC) belächelt, sagt Hernani Marques. Heute sei die Hackerorganisation eine gefragte Anlaufstelle, wenn es ums Thema Überwachung geht. In einer breiten, politischen Allianz, von der Jungen SVP bis zur Juso, setzt sich der CCC an der Seite des Wirtschaftsverbands Swico für ein Referendum gegen das neue Überwachungsgesetz (Büpf) ein.
Herr Marques, ich habe versucht Ihr Facebook-Profil zu finden, vergeblich. Haben Sie keinen Account?
Früher hatte ich einmal ein Facebook-Profil mit Fantasieangaben. Ich habe es dann gelöscht, als der Konzern an die Börse gegangen ist und bekannt wurde, dass jedes Profil im Schnitt über 100 Dollar wert ist.
Warum war das ein Problem für Sie?
Ich dachte, jetzt reicht es. Details über das Privatleben und über Nutzungsgewohnheiten sind ein Wirtschaftsgut und viel Geld wert. Bei Facebook sind diese Daten in der Hand einer Organisation. Wenn diese Firma Konkurs geht, sind die Daten einfach weg. Menschen, die Facebook das ganze Leben anvertrauen, oder Firmen, die ihre Kommunikation mit Kunden über die Plattform abwickeln, stehen dann plötzlich mit abgesägten Hosen da. Man macht sich dadurch extrem abhängig von einem Unternehmen. Für mich ist das nicht der richtige Ansatz, um im Netz zu kommunizieren.
Kommunizieren also über drei Millionen Schweizerinnen und Schweizer über die falsche Plattform?
Das hängt davon ab, ob sie ihre Kommunikation hauptsächlich auf Facebook führen und ob sie auch intime oder firmeninterne Daten preisgeben. Falls sie das alles tun, dann fichieren sie sich mit Facebook selbst oder gefährden ihre Kunden und machen sich damit angreif- und erpressbar.
Ist das den meisten einfach egal?
Manche sind sich sicherlich bewusst, dass alles, was auf Facebook oder auf anderen Social-Media-Plattformen gepostet oder geliket wird, früher oder später sowieso an die Öffentlichkeit gelangt. Die meisten Nutzer haben dieses Bewusstsein aber nicht, dass hier jemand mitlesen könnte.
Sie sammeln aktiv Unterschriften für das Referendum gegen das neue Überwachungsgesetz (Büpf). Was ist Ihre Motivation?
Das Überwachungsgesetz wird als notwendiges Übel angepriesen, um die Sicherheit aller zu erhöhen. Dabei wird das elektronische Kommunikationsverhalten der gesamten Bevölkerung zentral gesammelt. Mittels sogenannten IMSI-Catchern können Personenkontrollen aufgrund des mitgeführten Handys unbemerkt durchgeführt oder Gespräche ohne Unterstützung der Mobilfunkanbieter überwacht werden. Staatstrojaner können Mobilgeräte und Computer in Wanzen verwandeln und ermöglichen dem Staat Einblick in intime Lebenswelten.
Im Zusammenhang mit dem Büpf kann man argumentieren: Wer sich schon auf Facebook überwachen lässt, der stört sich bestimmt nicht daran, wenn der Staat auch mitliest.
Diese Argumentation ist sehr gefährlich und falsch. Man muss hier klar unterscheiden. Es gibt Plattformen, auf denen man sich freiwillig beteiligen und kommunizieren kann. Hier geht es ja nicht nur um Facebook, das kann auch ein staatliches Portal sein, wo man über die Sanierung einer Strasse diskutieren und abstimmen kann. Die staatliche Überwachung auf Grundlage des Büpf hat damit nichts zu tun und muss separat diskutiert werden. Diese Überwachung erfolgt zwangsweise, ohne Wahl durch den Einzelnen und ohne Kontrolle des Volkes.
Sehen Sie beim Staat also die grösseren Gefahren als bei privaten Konzernen?
Das kann man gar nicht so klar trennen. Edward Snowden war auch nicht beim Staat angestellt, sondern bei einem Vertragspartner des NSA-Geheimdienstes. Der Staat verfügt gar nicht über die nötige IT-Kompetenz und ist deshalb auf die Zusammenarbeit mit der Privatwirtschaft angewiesen. Zudem gibt es oft eine personelle Überschneidung und finanzielle Verflechtungen.
Welche Zusammenarbeit gibt es in der Schweiz?
Zum Beispiel den Staatstrojaner, den die Kantonspolizei Zürich bei der Firma Hacking Team in Mailand eingekauft hat. Hacking Team wiederum hat das nötige Wissen über Sicherheitslücken in Computersystemen auf dem osteuropäischen Mafia-Markt bezogen. Hier findet im Grunde eine Querfinanzierung der organisierten Kriminalität mittels Steuergeldern statt.
Eine krasse Anschuldigung. Gibt es dafür Beweise?
Das ist keine Anschuldigung; es ist schlicht der übliche Weg, um an Staatstrojaner zu gelangen und diese perfide einzuschleusen. Wenn man sein System regelmässig updatet, gibt es eigentlich keine bekannten, öffentlichen Sicherheitslücken. Hersteller von Betriebssystemen wie Apple, Microsoft oder Google wollen ihren Ruf wahren und schliessen deshalb stets alle Sicherheitslücken. Hacker, beispielsweise vom Chaos Computer Club (CCC), die sich an ethische Richtlinien halten, weisen die Hersteller auf Sicherheitsprobleme hin und veröffentlichen eine Sicherheitslücke erst, wenn diese geschlossen ist. Wenn sich jemand aber vor allem für Geld interessiert, dann bietet er das Wissen über Sicherheitslücken auf dem digitalen Schwarzmarkt an.
Das neue Büpf schafft für den Einsatz von Staatstrojanern eine gesetzliche Grundlage. Was wären die Folgen?
Die Folge ist, dass der Staat dann nicht für IT-Sicherheit sorgt, sondern die Möglichkeiten für potenzielle Angreifer erhöht. Indem der Staat das Wissen um Sicherheitslücken geheim hält, lässt er Beamte, Bürger und Unternehmer im Regen stehen. Dabei sollte die Aufgabe des Staates sein, uns alle vor Gefahren zu schützen.
Zurzeit werden Staatstrojaner und IMSI-Catcher ohne gesetzliche Grundlage eingesetzt. Wäre es nicht sinnvoller, mit einer Büpf-Revision klare Regeln zu schaffen?
Aus rechtlicher Sicht wäre es sicher sinnvoller, wenn der Einsatz solcher Abhörtechniken klar geregelt wird. Das Volk kann zu diesen Massnahmen natürlich auch Ja sagen. Es ist aber davon auszugehen, dass diese dann auch häufiger zum Einsatz kommen.
Bundesrätin Simonetta Sommaruga hat stets betont, dass mit den Massnahmen im revidierten Büpf nur schwere Straftaten, organisierte Kriminalität und Terrorismus aufgedeckt und verfolgt werden sollen.
Das Problem ist, dass mit den Massnahmen wie etwa der Erweiterung der Vorratsdatenspeicherung die Bevölkerung unter Generalverdacht gestellt wird. Ein solches Vorgehen ist überhaupt nicht verhältnismässig. Wir registrieren ja auch nicht, wer mit wem im Garten, zu welcher Zeit und wie lange ein Gespräch führt.
Warum werden verdächtigte Personen nicht gezielt überwacht?
Man geht einfach davon aus, dass man die Nadel dann schon findet, wenn man den Heuhaufen einfach immer grösser macht. Bisher müssen bereits Internetprovider und Telefonanbieter speichern, wer mit wem und wann kommuniziert. Das sind bereits schon viele Daten. In Zukunft geht es darum, dass auch andere Dienstleister wie E-Mail-Provider oder Chat-Dienste Vorratsdaten speichern.
Ich habe nichts zu verbergen und sehe darin kein Problem.
Das glauben Sie vielleicht, aber würden Sie mir den PIN-Code für ihre Bankkarte geben? Ausserdem sind Sie Journalist: Nehmen wir an, Sie recherchieren für einen investigativen Artikel über den Nachrichtendienst und beziehen Informationen von vertraulichen Quellen. Mit der Revision des Büpf wird der Schutz dieser Quellen aufgehoben.
(Bild: Flurin Bertschinger)
«Mit der Büpf-Revision wird das Internet zu einer kriminiellen Zone gemacht.»
Warum sollte der Quellenschutz vollständig ausgehebelt werden?
Für dieses Interview haben wir uns per E-Mail verabredet. Nach geltendem Büpf erfährt der Staat nur, wer wem eine E-Mail geschrieben hat, wenn die E-Mail-Adresse von einem Provider wie Bluewin oder Sunrise stammt. Nach der Revision sind alle E-Mail-Betreiber, die ihre Daten in der Schweiz speichern, betroffen.
Auch das wäre bei unserem Mail-Verkehr kein Problem gewesen, denn die TagesWoche arbeitet mit Gmail.
Das stimmt nur auf den ersten Blick. Gmail wäre nicht betroffen, da die Daten nicht in der Schweiz gespeichert werden. Der Vereinsserver des CCC Schweiz steht aber in der Schweiz und der Bund könnte neu selbst Vereine zur Überwachung zwingen. Damit sollen sich Freunde oder Mitarbeiter gegenseitig überwachen, was Misstrauen sät. Sind hingegen beide Mail-Anbieter – wie etwa Gmail und Gmx – im Ausland, spielt das Büpf auch in Zukunft keine Rolle.
Wo ist dann das Problem?
Kleine Schweizer Anbieter wie Email.ch oder Kolab wären davon betroffen. Diese Anbieter müssen durch das Speichern von Vorratsdaten unnötig Geld in ihre IT-Infrastruktur investieren. Aus diesem Grund schadet die Revision auch der Schweizer Wirtschaft.
Muss man die Überwachungstechnologie nicht ans 21. Jahrhundert anpassen?
Mit der geplanten Büpf-Revision wird ein digitaler Totalitarismus eingeführt. Das Internet wird zu einer kriminellen Zone gemacht, wo jeder Schritt überwachungswürdig scheint. In der analogen Welt hingegen bleibt alles beim Alten. Dort wäre der Widerstand viel zu gross und es wäre auch zu kostspielig.
Wäre also nach der Revision die briefliche Kommunikation abhörsicherer als der digitale Weg?
Im Grunde ja. Schon heute ist es am sichersten, wenn man einen Brief schreibt. Denn nicht eingeschriebene Briefe unterstehen nicht der Vorratsdatenspeicherung, da die Adressdaten nicht systematisch erfasst werden. Auch der Absender muss nicht auf dem Brief stehen. So bleibt die ganze Kommunikation schön privat.
Gibt es in der digitalen Welt denn überhaupt noch eine Privatsphäre?
Es muss sie auch im digitalen Raum geben, denn die Privatsphäre ist ein Grundrecht. Bei Social-Media-Plattformen müssen wir als Gesellschaft das Bewusstsein dafür schaffen, was diese permanente, aber freiwillige Öffentlichkeit bedeutet. Dass man vielleicht erst nach zehn Jahren merkt, dass eine Äusserung auf Facebook unangemessen oder für die berufliche Karriere hinderlich war. Was hingegen die staatliche Überwachung betrifft, müssen wir uns politisch wehren und zudem auf technische Massnahmen wie Verschlüsselung zurückgreifen, um unsere Privatsphäre und Sicherheit wahren zu können.
Verschlüsselung klingt jetzt sehr kompliziert.
Die technischen Hürden dürfen natürlich nicht so hoch sein. Zusammen mit Aktivisten aus dem Umfeld des CCC Schweiz arbeite ich an einer Software, die textbasierte Kommunikation im Internet anonymisiert und verschlüsselt. Eine abhörsichere Kommunikation soll ein Kinderspiel sein, deswegen heisst das Projekt auch: «Pretty Easy Privacy».
Hernani Marques, 1984 geboren und in Zürich aufgewachsen, arbeitet beim Projekt «Pretty Easy Privacy» mit, das sichere Kommunikation radikal vereinfachen will. Er hat Computerlinguistik an der Uni Zürich studiert, ist politisch engagiert und Vorstandsmitglied des Chaos Computer Clubs Zürich. In seiner Masterarbeit hat er sich mit den Gefahren der Massenüberwachung auf Basis computerlinguistischer Mittel auseinandergesetzt. Er beteiligt sich aktiv an der Kampagne gegen das neue Überwachungsgesetz (Büpf) und koordiniert das Referendum mit.
