Mein kleines dunkles Geheimnis

Auf meinem Rechner befinden sich mehrere mit dem Programm TrueCrypt verschlüsselte Dateien. Sie sind jeweils 4 GB groß, so dass ich sie noch auf meinen handelsüblich formatierten USB-Stick packen kann. TrueCrypt funktioniert so: Nach dem Starten von Windows werde ich um ein Passwort gebeten, und wenn ich das richtige eingebe, wird zum Beispiel die eine 4-GB-Datei als Laufwerk eingebunden. Dann ist es für Windows so, als hätte ich ein weiteres Laufwerk, nur dass die Basis dafür statt USB-Stick oder Foto-Speicherkarte eben diese TrueCrypt-Datei ist. Das ist bei mir zum Beispiel Laufwerk M:, und auf diesem Laufwerk speichere ich besonders sensible Daten.
Wenn ich den Rechner unbeaufsichtigt lasse, schalte ich ihn nicht unbedingt ganz aus, aber ich schalte zumindest dieses Pseudo-Laufwerk ab, so dass es nur noch in Form der 4-GB-Datei existiert. Laufwerk M: gibt es dann nicht mehr, bis ich es wieder mit dem Passwort einbinde.

Welche Art diese sensiblen Daten sind… sie sind verschiedener Art. Zum einen betrachtet das Kultusministerium so ziemlich alles, was mit Schülern zu tun hat, als sensible Daten, und verlangt, dass es man es mit TrueCrypt oder einem anderen Programm auf genau die beschriebene Art schützt. Nun ja, wie weit ich dem nachkomme, entscheide ich selbstständig. Darüber hinaus betrachte ich selber natürlich auch andere Dateien als sensible Daten. Und welche, das geht niemanden etwas an. Das ist mein kleines dunkles Geheimnis.

Wenn die Polizei mal meinen Rechner beschlagnahmt und das Passwort für die verschlüsselten Dateien haben will, soll ich das Passwort herausrücken? Muss ich das Passwort herausrücken? Das mit dem Beschlagnahmen kann schnell und ohne überzeugenden Grund geschehen, ist einem Freund mal so passiert. (Kurzfassung: Er war’s nicht, und auf dem Rechner war nichts. Ist auch schon länger her.)

Man kann es so sehen wie James Duane, Professor an der Regent University School of Law: „Why I am proud to admit that I will never talk to any police officer.“ Auch rhetorisch hörenswert:

Der Inhalt ist nicht verfügbar.
Bitte erlaube Cookies, indem du auf Übernehmen im Banner klickst.

Die Kurzfassung: Es kann nur Nachteile für einen Zeugen haben (und für Verdächtige obendrein), mit der Polizei zu sprechen, wortgewandt und mit Pro und Kontra argumentiert. Ich übertrage das Sprechen mit der Polizei dann mal auf die freiwillige Herausgabe eines Passwortes.

So eng wie Sloane sehe ich das nicht. Selbst wenn seine Prämisse stimmt, dass man nur Nachteile davon haben kann, wenn man als Zeuge oder Verdächtiger mit der Polizei redet (und darüber könnte man streiten) – wenn die möglichen Vorteile für andere und damit die Gesellschaft überwiegen, sollte man dieses Risiko dennoch auf sich nehmen. (Siehe auch: Gefangenendilemma.) Ich finde, man darf durchaus mit der Polizei reden, und sollte das meistens auch. Man darf der Polizei also sein Passwort geben –

– aber muss man? Muss man müssen? In England schon, da ist das Gesetz. Wer das Passwort nicht herausrückt, muss ins Gefängnis, siehe dazu diesen Eintrag im Lawblog von vor ein paar Jahren. Laut einem aktuellen Blogeintrag überlegen auch die Niederlande, so ein Gesetz einzuführen. In Deutschland gibt es das noch nicht, aber natürlich darf die Polizei versuchen, die Verschlüsselung zu knacken. Tatsächlich ist TrueCrypt, je nach Sorgfalt des Benutzers, aber so gut, dass das möglicherweise nicht wirklich möglich ist.

Da gibt es drei Möglichkeiten, damit umzugehen: 1. Ein Gesetz, das zur Passwort-Herausgabe verpflichtet. 2. Das Verbot von Verschlüsselungs-Software ohne Hintertür für die Regierung. 3. Man lebt damit, dass ein Bürger das Recht auf verschlüsselte Daten hat. So dass nicht nur die Gedanken frei sind, sondern auch die Festplatte, oder zumindest ein kleiner Teil davon.

Ich neige zur letzten Lösung. Laut Gesetz bin ich zur Herausgabe vieler Informationen verpflichtet, Steuer und so. Und wenn ich diese Informationen nicht herausgebe, darf der Staat Sanktionen gegen mich verfügen, klar. Aber was für ein Geheimnis ich darüber hinaus habe, und ob ich überhaupt eins habe (=> Oscar Wilde, „Die Sphinx ohne Geheimnis“), das will ich für mich behalten können. Mir gefällt der Gedanke, dass es ein kleines Stückchen Welt gibt, das mein Geheimnis bleiben kann, wenn ich das so will, und auf das der Staat keinen Zugriff hat.

Immerhin hat die Regierung gerade ein neues Gesetz zur Bestandsdatendauskunft beschlossen. Im Prinzip heißt das, dass schon bei einer Ordnungswidrigkeit ziemlich viele Behörden (rund 250 Stück) ziemlich viele Daten über mich abrufen können. Name, Adresse, Kontodaten einfach so, und wenn ein Richter zustimmt, auch Passwörter für meine E-Mail-Konten. Richard Gutjahr hat das vor ein paar Wochen mal recherchiert: so ziemlich jedem derartigen Antrag, der vor einem Richter landet, wird stattgegeben. Nur zwischen einer von 200 und einer von 500 wird abgelehnt. Das wird sich in Zukunft wohl auch nicht ändern.

(Falls jemand noch ein Erörterungsthema braucht.)

Tagged: Tags

2 Thoughts to “Mein kleines dunkles Geheimnis

  1. Wer mag das nicht: Einen Rest Privatheit trotz aller Internetöffentlichkeit? Ich denke, auch die, die das Ende der Privatheit propagieren, tun das auch nur zum Schutz ihrer Privatsphäre. („Ich habe keine Geheimnisse, also braucht ihr bei mir auch keie zu suchen.“) Wenn nicht, sind sie aus meiner Sicht schon irgendwie psychisch krank.
    Also her mit dem Programm TrueCrypt!

  2. Ein Gesetz auf Herausgabe des Passwort nützt im Falle von Truecrypt eigentlich wenig, wenn man das Feature „Hidden Volume“ nutzt, das extra für diesen Fall gebaut ist.
    Es gibt zwei Passworte: Eines entschlüsselt den Inhalt des Volumes und zeigt plausible Daten. Innerhalb dieses Volumes befindet sind aber ein weiterer verschlüsselter Container, den man nur durch ein weiteres Passwort erreicht. Der ist IT-forensisch ziemlich schwierig aufzuspüren.
    Bei TrueCrypt sollte man sich immer vor Augen halten, dass die Container so gebaut sind, dass man da ohne TrueCrypt nicht drankommt. Das gilt auch in dem Fall, dass die Datei beschädigt werden sollte – da reicht u.U. schon ein gekipptes Bit, damit man nur noch Datenmüll besitzt. Also: Backup, Backup, Backup…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.