Die Lösung für alle Überwachung­sprob­leme laut Twit­ter: “Skype und Face­book wer­den überwacht! Lasst es uns unter Lin­ux nutzen!”

Auch und ger­ade vor dem Hin­ter­grund der NSA-betriebe­nen total­en Überwachung und mein­er Auf­forderung zu mehr dig­i­taler Mündigkeit werde ich gele­gentlich spöt­tisch gefragt, warum ich auf einem mein­er Sys­teme nach wie vor auf Win­dows set­ze, das böse Win­dows mit dem NSAKEY von dem bösen Microsoft, das sich per­fider­weise an die Geset­ze hält, und nicht eben­falls auf FreeB­SD oder andere ver­meintlich über­legene (weil offene) Sys­teme. Beson­ders häu­fig ernte ich diese Kri­tik von Lin­uxnutzern. Das ist ein wenig merk­würdig.

Dass der Quell­code von Lin­ux näm­lich weit­ge­hend offen ver­füg­bar ist, bedeutet noch keine Fehler­frei­heit oder Sicher­heit. Veröf­fentlichte Sicher­heit­slück­en in ver­bre­it­eten Lin­ux­di­en­sten bis hin zu Kernkom­po­nen­ten (etwa su/sudo) sind nahezu an der Tage­sor­d­nung. Viele Köche sehen mehr, aber sie verder­ben eben auch den Brei. Auch unter Umstän­den kri­tis­che Lück­en bleiben da schon mal monate‑, gar jahre­lang unbe­merkt. “Nimm Lin­ux, da fall­en Fehler schneller auf”. Hier hast du 2 Mil­liar­den Zeilen Quell­code der aktuellen Ver­sion, der mor­gen schon wieder ver­al­tet ist, guck sel­ber, ob da irgen­dein Hin­tertürchen drin ist. Es ist schön, dass ihr den Quell­code the­o­retisch ken­nen kön­nt, aber ver­traut ihr ihm? Wenn ja: Warum?

Es gibt keine fehler­freie Soft­ware, das sollte jedem Com­put­er­nutzer klar sein. Aber kann es nicht auch sein, dass die NSA sich selb­st Hin­tertüren in Win­dows einge­baut hat? — Möglich ist das natür­lich. Die NSA ist poten­ziell unser Feind, das hat jed­er außer der Kan­z­lerin wahrschein­lich bere­its gemerkt, und ihre Bon­bons sind höchst­wahrschein­lich vergif- oh:

SELin­ux wird maßge­blich von der NSA und von dem Lin­ux-Dis­trib­u­tor Red Hat entwick­elt. (…) Für Ker­nel 2.4.x gibt es einen Patch, in Ker­nel 2.6.x ist SELin­ux direkt inte­gri­ert.

“Nimm Lin­ux, das ist sich­er vor der NSA”. Klar, der Quell­code ist offen. Und — habt ihr ihn über­prüft? Aber ich ver­ste­he schon: Die Lin­ux-NSA ist gut und die Win­dows-NSA ist böse. So ein­fach geht das. Und eigentlich ist ja auch nicht die NSA schuld, son­dern Microsoft und Google und Face­book und Apple sind schuld, dass sie Dat­en ihrer Benutzer her­aus­geben. (Dass Microsoft dies aus­drück­lich verneint hat, wird gern vergessen.) Bei PRISM ging es im Übri­gen — das wird bei diesem The­ma gern vergessen — auch nie darum, ob irgendwelche Hin­tertüren in Betrieb­ssys­te­men vorhan­den sind, vielmehr ermöglicht es Geheim­di­en­sten ange­blich, auf live geführte Kom­mu­nika­tion und gespe­icherte Infor­ma­tio­nen bei den beteiligten Inter­netkonz­er­nen zuzu­greifen. Angriff­sziel von PRISM sind also nicht “eure Com­put­er”, es ist die cloud. Die cloud, das sind Google Dri­ve und Google Mail und die iCloud und Face­book und Win­dows Azure und Win­dows Sky­Drive und Drop­box und Ubun­tu One und auch eure “im eige­nen Land”, aber eben meist auf fremder Hard­ware liegende own­Cloud. Das Betrieb­ssys­tem, mit dem wir unsere Dat­en hochladen, ist hier­bei vol­lkom­men uner­he­blich. PRISM ist keine Samm­lung von Tro­jan­ern, die direkt auf dem Lap­top Bilder von euren Briefen und Mails machen. Das Prob­lem ist nicht das Betrieb­ssys­tem, das Prob­lem sind die ach-so-nüt­zlichen Pro­gramme, mit denen ihr eure Dat­en bear­beit­et. Office 365, Pho­to­shop Cre­ative Cloud, Google Dri­ve — ihr lasst nicht nur zu, dass “eure Soft­ware” nicht mehr euch gehört, ihr spe­ichert die damit erstell­ten Werke auch auf frem­den Rech­n­ern, ist halt so prak­tisch.

Richtig ist hinge­gen, dass es wichtig ist, die Integrität der eige­nen Dat­en stets zu gewährleis­ten. Ob man nun seine Mails mit GnuPG ver­schlüs­selt (das geht unter Win­dows übri­gens mit The Bat! deut­lich leichter als mit dem stroke­li­gen Thun­der­bird, das in diesem Zusam­men­hang gern genan­nt wird), im instant mes­sen­ger sein­er Wahl stan­dard­mäßig OTR-Ver­schlüs­selung aktiviert oder seine Drop­box absichert: Welch­es Betrieb­ssys­tem ihr dafür ver­wen­det, bleibt allein euren Vor­lieben über­lassen. Ihr wollt ver­hin­dern, dass die NSA eure Dat­en bekommt? Vielle­icht soll­tet ihr sie ihr dann ein­fach nicht unge­beten in den Briefkas­ten wer­fen.

Und — sind eure Dat­en sich­er?