Die kostenlose Software JAP verwischt die Spuren von Internetusern. Geht es nach Politikern und Behörden, könnte es damit bald vorbei sein. Ein Interview mit dem Entwickler Stefan Köpsell
Fragen von Carsten Lißmann
Zuender: In einem Satz: Was macht JAP?
Stefan Köpsell: JAP anonymisiert Internetverbindungen so, dass niemand verfolgen kann, welche Seiten beim Surfen im Web abgerufen wurden.
Wenn man das Programm startet, steht da der Slogan "Anonymity is not a crime". Wer behauptet das Gegenteil?
Offiziell behauptet das niemand. Allerdings sehen manche Behörden und Politiker Anonymität durchaus als Gefahr für die Gesellschaft. Ich denke an alle, die mit der Strafverfolgung und Terrorismusabwehr zu tun haben und sich durch anonyme Internetnutzer in ihren Ermittlungen behindert sehen. Deshalb wird Anonymisierungs-Software manchmal gern als Werkzeug von Kriminellen bezeichnet und in eine zwielichtige Ecke geschoben. Aber darum geht es uns nicht.
Worum dann? Aus welchen Gründen sollte jemand anonym bleiben wollen?
Die meisten wollen ja nichts vor der Polizei verbergen, sondern vor Kollegen, Freunden oder Nachbarn. Niemand wohnt gern im Glashaus. Und jeder hat gewisse Macken oder Eigenarten, die zwar nicht kriminell sind – aber auch nicht für die Öffentlichkeit bestimmt.
Es muss auch möglich sein, im Internet seine Meinung zu äußern, ohne dass gleich klar ist, wer man ist – zumal viele Forenbeiträge jahrzehntelang gespeichert werden. Anonyme Wahlen sind aus gutem Grund ein fester Bestandteil der Demokratie, und anonyme Meinungsäußerung sollte das auch sein.
Wenn eine "Internetstreife" auf Ermittlungstour geht, ist sie anhand der
IP-Adresse
relativ leicht als solche zu identifizieren. Für die Gegenseite ist es dann relativ einfach, ihre Inhalte entsprechend zu filtern und den Cybercops nicht die strafrechtlich relevanten Inhalte zu zeigen, sondern nur Comicbilder. Ermittler, die eine sinnvolle Recherche im Internet betreiben wollen, müssen ihre Identität verbergen.
Anzeige
Der andere Teil der Antwort sind die berühmten "anonymen Hinweise". Mit JAP können Bürger diese Hinweise an die Polizei auch im Internet wirklich unerkannt abgeben. In diesen Bereichen haben auch die Behörden erkannt, dass Anonymität ihnen nutzen kann. Sie sind nicht prinzipiell dagegen, sie wollen nur die Kontrolle darüber haben.
Ihr Projekt hatte eine Reihe von Auseinandersetzungen mit dem Bundeskriminalamt (BKA), in denen es um eben diese Kontrolle ging. Inzwischen sprechen Sie von "konstruktivem Dialog".
Die meisten Polizeibehörden sind sehr verständnisvoll, wenn wir sagen: "Entschuldigung, wir sind ein Anonymisierungsdienst, wir überwachen unsere Nutzer nicht." Zu einer Eskalation kam es erst ein einziges Mal, in einem Fall von Kinderpornografie, der jetzt schon einige Jahre zurückliegt. Damals wollte das BKA wissen, wer auf einen bestimmten Server zugegriffen hatte. Die Ermittler wollten auf Basis eines falschen Gerichtsbeschlusses einen unserer Rechner beschlagnahmen, weil sie vermuteten, darauf lägen Datensätze von JAP-Nutzern. Damit ist das BKA über das Zulässige hinausgegangen, später haben Gerichte entschieden, dass die Durchsuchung rechtswidrig war.
Daraufhin haben Sie die Möglichkeit geschaffen, eine Art Fangschaltung einzurichten. War das ein Angebot an die Behörden?
Das war kein Angebot, das ist eine Tatsache. Es ist möglich, einen bestimmten Anschluss ab einem gewissen Zeitpunkt zu überwachen, ähnlich wie bei einer Telefonüberwachung. Wenn uns ein richterlicher Beschluss vorgelegt wird, müssen wir diese Maßnahme durchführen. Das sind die rechtlichen Grundlagen, die wir akzeptieren müssen.
Wie funktioniert diese Fangschaltung technisch?
Im Prinzip müssen alle Anonymisierungsserver, die im Netzwerk zusammengeschlossen sind, mitarbeiten und aufzeichnen, welche eingehenden und ausgehenden Daten zu demjenigen Nutzer gehören, der überwacht werden soll.
Anzeige
Die Anonymisierung basiert ja darauf, dass die verschiedenen Zwischenstationen nicht wissen, was die jeweils andere tut (siehe "Wie funktioniert JAP?" linke Spalte). Wenn man das aushebelt, ist es auch möglich, den Verkehr zu überwachen. Es ist nur dann schwierig, wenn einzelne Mixserver im Ausland stehen, wo deutsche Gerichtsbeschlüsse nicht greifen. Es muss nämlich jeder einzelne Server an der Überwachungsmaßnahme teilnehmen.
Aber für Deutschland haben Sie im Sinne der Behörden nachgerüstet?
Als das BKA damals fragte, was wir in diesem Fall von Kinderpornografie tun könnten, haben wir diesen Mechanismus so in die Software eingebaut, dass er nutzbar ist, allerdings nicht dauerhaft aktiviert. Die Server müssen speziell eingerichtet werden, damit so eine Fangschaltung möglich ist.
Der Quellcode des gesamten Projekts ist unter einer Open Source-Lizenz veröffentlicht worden. Das heißt, jeder kann sich die Software herunterladen und selbst einen Anonymisierungsserver aufmachen.
Das ist so gewollt. Wir haben nur begrenzte Ressourcen und sind sogar darauf angewiesen, dass möglichst viele Firmen, Institutionen oder Privatpersonen bereit sind, so einen Server zu betreiben und der Allgemeinheit zur Verfügung zu stellen.
Aber das heißt doch auch, dass jeder den Quellcode verändern kann. Wäre es dann nicht möglich, dass jemand den Fangschaltungs-Mechanismus einfach wieder entfernt?
Das ist gar nicht notwendig, man kann ihn ja auch einfach deaktiviert lassen. Aber wer in Deutschland so einen Server betreibt, unterliegt den deutschen Gesetzen und würde im Falle einer Überwachung eine richterliche Anordnung erhalten, so eine Fangschaltung umzusetzen. Das kann der Betreiber dann tun oder lassen – mit den entsprechenden rechtlichen Konsequenzen. Der Dienst ist dezentral aufgebaut, wir stellen nur die Software zur Verfügung. Jeder kann sich daran beteiligen, ist aber dann auch für das, was er tut, verantwortlich.
Anzeige
Was ist mit Ländern wie China oder Iran? Wird nicht die Möglichkeit, so eine Fangschaltung einzurichten, für die Menschen dort zur Gefahr, nur weil das deutsche Recht es so will?
Eine Überwachung ist erst möglich, wenn alle Anonymisierungsserver mitmachen. Wenn also die Regierung in Peking beschließt, die chinesischen JAP-Nutzer zu überwachen, dann funktioniert das nur, wenn sie alle beteiligten Server kontrolliert. Sobald aber deutsche oder amerikanische Server unter ihnen sind, kann die chinesische Regierung nichts machen, außer auf die ausländischen Regierungen Druck auszuüben.
Also muss JAP sich so weit verbreiten, dass die Anonymisierungsserver in möglichst vielen Ländern der Erde stehen?
Das ist die Idealvorstellung. Allerdings ist es bisher eher so, dass die Surfer aus dem Iran und Saudi-Arabien den Dienst in Deutschland nutzen, um überhaupt im Internet surfen zu können, also um die Zensurmaßnahmen der lokalen Behörden zu umgehen. Dass so jemand einen eigenen Anonymisierungsserver aufmacht, ist eher unwahrscheinlich.
Momentan ist es sehr schwierig abzusehen, was da auf uns zukommt. Deswegen ist es auch schwer zu sagen, wie wir reagieren werden. Es gibt drei Szenarien: Wenn wir alle Nutzerdaten speichern müssen, hätte es keinen Sinn mehr, überhaupt noch so einen Dienst anzubieten – im Gegenteil. Müssen wir nur Teile der Daten speichern, ist die Frage, ob man die Logdateien so verschlüsseln kann, dass der Datenschutz sichergestellt ist. Im besten Fall sind wir als Anonymisierungsdienst überhaupt nicht betroffen. Da sind sich auch unsere Juristen noch nicht ganz sicher.
Im Extremfall könnte das aber bedeuten, dass wir Partner im Ausland suchen und die deutschen Server abschalten. Wir werden dann auch die Nutzer nach ihrer Meinung fragen. Vielleicht reicht es ihnen ja weiterhin vor ihren neugierigen Nachbarn und Arbeitskollegen geschützt zu werden und es stört sie nicht, dass die Behörden im Zweifelsfall ihr Surfverhalten verfolgen können.