Ich könnte mir vorstellen, dass Mikroform verwendet wurde, weil die Kreditkarten-Daten zur Archivierung aufbewahrt werden müssen – für die Langzeitarchivierung eignet sich nun mal am Besten noch immer Mikroform. Praktisch auch: Whisteblowing mittels physischer Datenträger wie Mikroform ist in unserem Deutschen Überwachungsstaat besser möglich, da es ungleich schwieriger abgehört werden kann. Bei Telefon und Email sorgen Vorratsdatenspeicherung und Reichssicherheitshauptamt BKA-Gesetz nämlich dafür, dass Informanten abgeschreckt werden.

Da fällt mir ein weiteres Beispiele ein, wo Bibliotheks- und Informationswissenschaft und der derzeit stattfindende Rückbau des Rechsstaats sich treffen: beim mg-Prozess (Hintergrund) berichtete eine BKA-Vertreterin, wie mit Hilfe einer BfV-Datenbank versucht wurde, einen Urheber festzustellen. Die so “Ermittelten” sitzen seit Ende Juli 2007 wegen schlechtem Retrieval in Haft. Wundern sollten diese Fällen eigentlich nicht – in einem Land, wo sich Personen in Polizeigewahrsam spontan selbstenzünden, ist vieles möglich. Richtig ist es dadurch noch lange nicht.

…also in etwa das Gegenteil der drei Affen (nichts sehen, nichts hören, nichts sagen) – die im Japanischen Original übrigens ganz anders interpretiert werden. Allerdings sollte Whistleblowing nicht mit dem Herumkrakelen und Gezeter über Mißständen verwechselt werden, die eigentlich längst bekannt sind und/oder sich leicht auf anderem Wege abstellen ließen.

Für tatsächliche Fälle von Korruption, Machtmißbrauch, Veruntreuung etc. sind Hinweisgeber nicht nur für die Öffentlichkeit, sondern auch für Unternehmen eigentlich von großem Nutzen – wenn jeder dichthält und Probleme unter den Teppich gekehrt werden, wachsen diese meist immer weiter, bis es zum großen Knall kommt (Skandal, Pleite etc.). Leider haben es Hinweisgeber mangels Schutz in Deutschland eher schwer und selbst in Ländern mit spezielle Whistleblower-Schutzgesetzen wird der Hinweisgeber als Überbringer einer schlechten Nachricht oft selbst dafür verantwortlich gemacht und als Nestbeschmutzer diffamiert. Hilfreich sind deshalb Möglichkeiten, Beschwerden anonym abgeben zu können, was für an US-Börsen notierte Unternehmen sogar vorgeschrieben ist.

Das “Business Keeper Monitoring System” ist ein mit EU-Mitteln gefördertes, kommerzielles Produkt, mit dem Unternehmen eine anonyme Beschwerdestelle einrichten können. Unter bkms-system.net finden sich beispielsweise Anlaufstellen des Landeskriminalamt Niedersachsen, der Deutschen Telekom AG und der Kaufmännischen Krankenkasse KKH. Über ein Ticket-System, das ähnlich wie ein Toter Briefkasten funktioniert, ist auch die bidirektionale anonyme Kommunikation zwischen Hinweisgeber und Anlaufstelle möglich. Die Gute Idee wird jedoch durch mangelnde Implementation und nicht zuletzt die Vorratsdatenspeicherung torpediert.

Zum einen erfordert BKMS unverständlicherweise zur Benutzung JavaScript, was völlig unnötig ein potentielles Sicherheitsloch in das Verfahren reißt. Zum anderen ist es mit der Anonymität nicht weit her, wenn Verbindungsdaten ohne Tatverdacht erstmal ein halbes Jahr gespeichert werden. Investigative Journalisten wissen schon davon zu berichten, dass ihnen Informaten abspringen, weil sie nicht mehr sicher kommunizieren können. Wie soll sich ein Hinweisgeber sicher sein, dass seine Kontaktaufnahme mit der Anlaufstelle ihm nicht negativ angelastet wird? Ein zweifelhaftes Webformular bringt wenig, wenn nicht erklärt wird, wie man anonym (z. B. mit Tor) und verschlüsselt auf die Seite zugreifen kann. Ich empfehle der BUSINESS KEEPER AG erstmal JavaScript wegzuschmeissen und dann einen Tor-Exit Node für ihre Seite aufzusetzen, dann könnte es es mit der Anonymität klappen.

Dass sich auf der Seite des amerikanischen National Whistleblower Center ebenfalls nichts zu Verschlüsselung findet, macht die Sache auch nicht besser. Dass dagegen die Telekom eine Hinweisstelle für Whistleblower eingerichtet hat, während sie gleichzeitg Verbindungsdaten speichern muss, hat schon was ironisches.

Gekommen bin ich auf das Thema Whistleblowing übrigens über Mordechai Vanunu. Der Träger des Alternativen Nobelpreises hatte 1986 das Atomwaffenprogramm Israels publik gemacht. Daraufhin wurde er vom Mossad in Italien entführt und saß 11 Jahre in Isolationshaft. Seit 2004 ist er sozusagen in offenem Vollzug, d.h. er darf Israel nicht verlassen und sich nicht mit Ausländern unterhalten, weshalb er zwischenzeitlich wieder inhaftiert wurde. Dazu gibt es auf YouTube einen guten BBC-Film.

Weitere Informationen zum Thema gibt es unter Anderem im Weblog des Whistleblower-Netzwerk e.V. – dort lässt sich dann beispielsweise nachlesen wie im Lande des so genannten “Hessenhitler” die Steuerfahndung intern an Aufklärung behindert wird.

Wie dieser Rückschritt in den Überwachungsstaat zustande gekommen ist, dokumentiert auf der sehr zu empfehlenden Seite Abgeordnetenwatch (aus der CSU hat als einziger Peter Gauweiler dagegen gestimmt, gefallen hat mir dieses ehrliche Bekenntnis von Dieter Wiefelspütz). Bei vielen Abgeordneten dürfte es wohl ähnlich sein wie bei Michael Glos, sie haben einfach keine Ahnung, wie dieses Video beweist. Bei anderen dürfte der Koalitionsfrieden eine Rolle gespielt haben (da fällt mir die Zustimmung der SPD zu den
Kriegsanleihen 1914 ein) oder sie sind einfach beratungsresistent wie Wolfgang ““Stasi 2.0“-Schäuble (sowohl bundesabhoerzentrale.de als auch stasi.de ständen ihm für weitere Pläne frei). Andere zwickt im Nachhinein das schlechte Gewissen was aber eher ein Zeichen dafür ist, dass die erbärmliche Einrichtung “SPD” sich endlich auflösen sollte (in Sachsen, wo August Bebel 1873 trotz Festungshaft in seinem Wahlkreis 80% bekam, rangieren die ex-Sozialen teilweise hinter der NPD).

Wie sollen jetzt eigentlich bspw. Bahnangestellte mit der GDL Kontakt aufnehmen oder Nazi-Aussteiger mit Beratungsstellen oder … wenn nicht sicher ist, dass der Kontaktversuch geheim bleibt? Was einmal gespeichert und weitergegeben ist, lässt sich nicht mehr so leicht löschen! Wenn staatliche Stellen (oder andere Stellen, an die die Daten zur Verarbeitung weitergegeben werden, oder einzelne Personen, die Zugriff haben oder …) schon nicht mutwillig Unsinn mit den Daten anstellen, wird es sicherlich aus letztendlich aus technischer oder organisatorischer Inkompetenz oder durchsickern. Gute Nacht Meinungsfreiheit, Willkommen zurück DDR!

Wer mehr wissen möchte – auch wie man sich durch Verschlüsselung und Anonymisierung teilweise schützen kann, sollte unbedingt bei Kai Raven vorbeischauen und natürlich beim AK Vorratsdatenspeicherung.

Leider hat die Aktionen einen Geburtsfehler, die bereits bei dataloo diskutiert wird: Es lassen sich grundsätzlich alle Seitenbesucher überwachen – weshalb ich mich bislang nicht am Datensammeln beteilige. Stattdessen habe ich mal wieder meine angestaubten PHP-Kenntnisse hervorgekramt und eine Serverseitige Vorfilterung gebastelt.

Dazu muss erstens die Liste der Verdächtigen und zweitens der grüne Überwach-Button auf den eigenen Server gezogen werden.

Anschließend baut euch in eure PHP-Anwendung folgende Funktion ein:

function verdaechtig ($remoteip) {

function ip2hex($ip) { // Normalisiert eine IP-Adresse in 8-Byte-Zeichenkette
    if (preg_match('/(\d+)\.(\d+)\.(\d+)\.(\d+)/', $ip, $match)) {
        for ($i=1; $i< =4; $i++)  {
            $hex .= sprintf("%02X",$match[$i]);
        }
    }
    return $hex;
}

function jsonstring($value) { // JSON fuer PHP < 5.2.0
    static $jsr = array(array("\\", "/", "\n", "\t", "\r", "\b", "\f", '"'),
           array('\\\\', '\\/', '\\n', '\\t', '\\r', '\\b', '\\f', '\"'));
    return '"' . str_replace($jsr[0], $jsr[1], $value) . '"';
}

$iphex = ip2hex($remoteip);

$handle = fopen ("verdaechtige.csv","r"); // IP-Liste einlesen
while ( ($data = fgetcsv ($handle, 1000, ";")) !== FALSE ) {
    $ips = explode('-',$data[0]);
    if ($iphex < ip2hex($ips[0]) || $iphex > ip2hex($ips[1])) continue;
    return '{"ip":' . jsonstring($remoteip) . ',"name":' . jsonstring($data[1])
         . ',"url":' . jsonstring($data[2]) . '}';
}
fclose ($handle);
return "{}";
}

Die PHP-Funktion verdaeechtig liefert ein JSON-Objekt zurück, dessen Felder “ip”, “name” und “url” gesetzt werden, falls die übergebene IP in einen der vorgegebenen Bereiche fällt. Das ganze kann dann beispielsweise folgendermaßen eingebunden werden

<script type='text/javascript'><!--
< ?php print "var ministerium = " . verdaechtig($_SERVER['REMOTE_ADDR']) . ";"; ?>
if (ministerium.ip) {
    document.writeln('<a href="http://www.uberwach.de/"><img src="http://www.uberwach.de/wanze?'+escape(window.location)+'" alt="Aktion UBERWACH!" width="80" height="15" border="0" /></a>');
   // Hier ggf. weitere Befehle
   // alert("Vielen Dank, dass sie Vorratsdatenspeicherung unterstützen!");
}//--><script>

Sicherlich lässt sich das noch vereinfachen und so beschreiben, dass es eher verständlich wird. Ein fertiges WordPress-Plugin o.Ä. wäre vielleicht hilfreich. Wem also die Aktion Überwach! nicht gut genug ist, der sollte sich selber an einer Verbesserung versuchen, alle anderen können auch den auf der Projektseite beschriebenen Weg der Beteiligung wählen.

Einen Hinweis auf den im Pass enthaltenen RFID-Chip und die damit verbundenen Sicherheitsprobleme gibt es bei der Ausgabe nicht. Eigentlich sollte jedem Reisepass gleich eine Schutzhülle gegen unbefugtes Auslesen beigelegt werden. Bereits letztes Jahr wurde gezeigt, dass sich vom ePass Kopien anfertigen lassen, die von elektronischen Lesegeräten nicht vom Original unterscheidbar sind. Einen schönen Vortrag zum Auslesen und Simulieren von RFID-Chips gab es übrigens auf dem 23C3.

Angesichts dass, vorangetrieben von dem Verfassungsfeind Wolfgang Schäuble, die nach 1945 eingeführte Trennung von Geheimdienste, Polizei und Militär immer weiter aufgeweicht wird und Techniken eingeführt werden, von denen die Stasi nur träumen konnte, muss einem schon unheimlich werden. Da hilft auch die Ich-habe-doch-nichts-zu-verbergen-Ausrede im Biedermann’schen Sinne nichts: Wenn Kopien eines Reisepasses zu oft an den falschen Orten auftauchen, drohen dem damit Verdächtigen Passinhaber bald schnell nicht nur Handy- und Internetverbot sondern, wie Schäuble vorschlägt, gar die “gezielte Tötung”. Wer einmal – warum auch immer (falscher Name, falscher Urlaubsort, zufällig neben der falschen Person gesessen etc.) – auf deiner der vielen Listen von Terrorverdächtigen gelandet ist, hat halt Pech gehabt – nach der neuen Anti-Terror-Doktrin sind wir doch schließlich alle potentielle Terroristen.