Sind Warrant Canaries nützlich?

Die öffentliche Besorgnis über die Überwachung des Internets durch die Massenregierung hat zugenommen, seit Edward Snowden das unglaubliche Ausmaß und den Umfang der Spionageoperationen der NSA der Welt offenbarte. Seitdem ist es bei Internetdiensten beliebt, die sensible Daten verarbeiten oder die die Privatsphäre der Benutzer schützen sollen (z. B. bei VPN-Diensten). Diese sollen den Kunden versichern, dass der Service nicht von der Regierung kompromittiert wurde und eine Gag-Order zugestellt wurde.

In den USA kann jedem Unternehmen eine geheime Vorladung der Regierung oder ein National Security Letter (NSA) ausgestellt werden. Dies zwingt sie, alle Daten zu übergeben, die entweder einen namentlich genannten Kunden betreffen, oder sogar eine Rahmenbestellung einzuhalten, um Informationen zu allen Kunden zu übergeben. Das Unternehmen muss möglicherweise auch Protokolle der neuen Aktivitäten der Benutzer führen, auch wenn dies ansonsten nicht der Fall wäre.

Solche Vorladungen oder NSLs werden in der Regel von einem Gag-Befehl begleitet, der das Unternehmen (oder eines seiner Mitarbeiter) unter Androhung schwerwiegender rechtlicher Konsequenzen (als Zeit im Gefängnis) daran hindert, seinen Kunden die Existenz der Vorladung oder NSL mitzuteilen. Die meisten anderen Länder haben ähnliche Gesetze.

Der vielleicht berüchtigtste Fall, bei dem es um einen solchen Knebelbefehl geht, ist der von Lavabit. Im Jahr 2013 wurde dieses sichere Webmail-Unternehmen vorgeladen (mit Gag-Befehl), um die SSL-privaten Schlüssel aller mehr als 400.000 Kunden an die NSA zu übergeben, um Edward Snowden auszuspionieren (von dem angenommen wurde, dass er den Dienst genutzt hat)..

Der Eigentümer Levi Levinson hat sich gegen die Einhaltung entschieden und sein Unternehmen sofort geschlossen, um die Privatsphäre der Benutzer zu schützen. Er wurde später wegen Verachtung des Gerichts verurteilt.

Was sind Warrant Canaries??

Ein Warrant Canary ist eine regelmäßig aktualisierte Erklärung eines Unternehmens, dass es nicht kompromittiert wurde und eine Gag-Order zugestellt hat. Wenn ein Warrant Canary nicht in regelmäßigen Abständen aktualisiert wird (normalerweise nach einem festgelegten Zeitplan), sollten Benutzer davon ausgehen, dass der Service beeinträchtigt wurde.

Das VPN-Unternehmen iPredator veröffentlicht beispielsweise „mindestens vierteljährlich“ einen Warrant Canary,

"IPredator hat keine National Security Letters oder FISA-Gerichtsbeschlüsse erhalten oder wurde durch ähnliche (il) rechtliche und antidemokratische Rechtsinstrumente zum Schweigen gebracht."

Diese Anweisung ist mit einem PGP-Schlüssel signiert, der die Authentizität überprüfen soll.

Warrant Canaries geht davon aus, dass eine Regierung eine Person legal zum Schweigen bringen kann, sie jedoch nicht dazu zwingen kann, eine Lüge auszusprechen (d. H. Den Warrant Canary fälschlicherweise zu aktualisieren). In den USA wird argumentiert, dass der First Amendment vor Redezwang schützt. Wie die Electronic Frontier Foundation (EFF) feststellt,

"Während die Regierung möglicherweise in der Lage ist, durch einen Gag-Befehl Schweigen zu erzwingen, kann sie einen ISP möglicherweise nicht dazu zwingen, zu lügen, indem sie fälschlicherweise behauptet, dass er kein rechtliches Verfahren erhalten hat, obwohl dies tatsächlich der Fall ist."

Die Idee der Warrant Canaries wurde vom EFF unterstützt, der Canary Watch betreibt, eine Website, die überwacht, ob Unternehmen das Erlöschen ihrer Warrant Canaries zulassen.

Kann man einem Warrant Canary vertrauen??

Auf den ersten Blick klingen Kanarienvögel wie eine gute Idee. Viele sind jedoch nicht überzeugt und argumentieren, dass Haftbefehls-Kanarienvögel kaum mehr sind als Puff- und Rauchwerbung mit wenig bis gar keiner wirklichen Substanz.

1. Der First Amendment-Schutz für den Einsatz von Warrant Canaries ist rein mutmaßlich - Es wurde noch nie vor Gericht geprüft. Es ist sehr wahrscheinlich, dass ein US-amerikanisches Gericht entscheidet, dass die Nichtaktualisierung eines Warrant Canarys eine Missachtung der gesetzlichen Anforderungen darstellt, die an eine Person gestellt werden.

Dies gilt umso mehr außerhalb der USA, wo die Menschen nicht über die expliziten verfassungsmäßigen Rechte verfügen, die den US-Bürgern gewährt werden. Australien ist das erste Land, das die Verwendung von Warrant Canaries explizit verbietet, und andere Länder (wie das Vereinigte Königreich) werden wahrscheinlich bald folgen.

2. Eine Website kann leicht von einer Regierung übernommen werden, und es können falsche Aktualisierungen vorgenommen werden. Das Sichern eines Warrant Canary mit einem PGP-Schlüssel soll dagegen schützen, aber a) wie viele Personen prüfen diese PGP-Schlüssel tatsächlich? Und b) wenn ein Firmeninhaber gezwungen sein kann, seinen Dienst zu gefährden, können sie auch gezwungen werden (oder bestochen), um ihre PGP-Schlüssel zu übergeben.

Wie Brett Max Kaufman, ein Anwalt der American Civil Liberties Union, der BBC mitteilte,

„Wenn die Regierung ein Unternehmen auffordert, seinen Haftbefehl aufrecht zu erhalten (und damit der Öffentlichkeit etwas Falsches mitzuteilen), hat das Unternehmen das Recht, einen Gag anzufechten (gemäß der Ersten Änderung ... oder gemäß bestimmten Bestimmungen der USA Freedom) Gesetz) vor Gericht. Aber wenn ein Gericht der Bitte der Regierung zustimmte ... wäre die Öffentlichkeit zumindest für einige Zeit nicht klüger. Dies wäre in der Tat das gesamte Ziel aus Sicht der Regierung."

Eine Person, die schnell genug war, könnte in der Lage sein, alle Kopien ihres PGP-Schlüssels (der an verschiedenen Orten gespeichert wird, damit er überprüft werden kann) zu vernichten, bevor sie zur Übergabe gezwungen wird. Dies würde einem Beobachter mit Adleraugen ermöglichen, die fehlende Unterschrift zu bemerken, wenn das Unternehmen gezwungen ist, seinen Warrant Canary weiter zu aktualisieren. Es ist jedoch immer noch nicht möglich, dass Kunden wissen, ob ein Schlüssel zerstört wurde oder nicht.

Das sichere Web-Speicherunternehmen SpiderOak unternimmt einen mutigen Versuch, dieses Problem zu lösen, indem es seinen Haftbefehlskanal von drei verschiedenen hochrangigen Personen innerhalb des Unternehmens (die sich vermutlich an verschiedenen geografischen Standorten befinden) digital signieren lässt. Dies würde es sicherlich schwieriger (oder teurer) machen, alle Unterzeichner zu erzwingen (oder zu bestechen), bietet jedoch keine Garantie dafür, dass dies der Fall ist und dass allen vertraut werden kann.

3. Selbst wenn Optionsscheinkanarien "ausgelöst" werden (d. H. Nicht rechtzeitig aktualisiert werden), wird dies häufig ignoriert. Ein gutes Beispiel ist Apple, das 2014 seinen Warrant Canary aus seinem letzten Transparenzbericht gestrichen hat. Trotzdem wurde weithin argumentiert, dass die Entfernung wahrscheinlich nicht bedeutet, dass Apple gezwungen war, Daten nach geheimen Regierungsanweisungen auszuhändigen. Dies mag zutreffen oder auch nicht, aber in jedem Fall wurde der Vorfall schnell vergessen und die Kunden vertrauten Apple wie gewohnt.

Ein weiteres Beispiel ist der fehlende Warrant Canary im Transparenzbericht 2015 von Reddit. Trotz anfänglicher Besorgnis in einem kleinen Teil der Redditors wurde das Geschäft in den Reddit-Foren seitdem wie gewohnt fortgesetzt.

Was ist dann der Sinn eines Warrant Canarys, wenn sein Verschwinden keinen Alarm auslöst?!?

Fazit

Warrant Canaries sind eine fehlerhafte Idee, die hauptsächlich als Werbeflusen für Unternehmen dienen, die ihre datenschutzfreundlichen Ausweise zeigen möchten.

Die Tatsache, dass selbst beim Auslösen von Kanarienvögeln der Haftbefehl routinemäßig ignoriert wird (vermutlich, weil es für den Benutzer unpraktisch ist, auf den Auslöser zu drücken), untergräbt nur weiter das geringe Vertrauen, das wir in eine solche Maßnahme setzen können.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me