Wir vertrauen Webseiten eine Menge persönlicher Informationen an. Von Ihrer bevorzugten Unterhaltung bis zu Ihren tiefsten Geheimnissen – alles wird in Ihrem Browser und Ihren Suchverläufen gespeichert.
Und die Regierung ist sich dessen sehr wohl bewusst.
Strafverfolgungsbehörden stützen sich stark auf Internetdaten, um Verbrechen zu untersuchen und zu verfolgen.
Sie verlangen regelmäßig, dass Webunternehmen Nutzerdaten herausgeben. Wenn sie solche Forderungen erhalten, haben diese Unternehmen keine andere Wahl, als zu entsprechen.
Aber aufgrund der geheimen Natur dieser Anordnungen können Webseiten ihre Nutzer nicht darüber informieren. Ihre Daten könnten in den Händen der Regierung sein, und Sie würden es nicht einmal wissen.
Es gibt jedoch eine Möglichkeit, dies zu umgehen, und sie beinhaltet die geschickte Ausnutzung einer gesetzlichen Lücke: Warrant Canaries.
Also, was genau ist eine Warrant Canary und wie funktioniert sie? Wir klären Sie über das effektivste Vorgehen mit diesem wertvollen Transparenz-Instrument auf.
Was ist eine Warrant Canary?
Bevor elektronische Sensoren und fortschrittliche Sicherheitsausrüstung erfunden wurden, nahmen Bergarbeiter häufig eine Kanarienvogel mit in die Minen.
Die kleinen Organe des Kanarienvogels waren weitaus mehr empfindlich gegenüber tödlichem Kohlenmonoxid als die der Bergarbeiter. Stieg der Kohlenmonoxidgehalt, wurde der Vogel von den Gasen überwältigt, fiel krank aus und starb.
Wenn der Kanarienvogel krank wurde oder starb, wussten die Bergarbeiter, dass es an der Zeit war, die Mine zu verlassen, bevor das Kohlenmonoxid auch sie tötete.
Dieses effektive, wenn auch makabre, Frühwarnsystem führte zu der Redewendung “Kanarienvogel in einer Kohlenmine”.
Und das hat zur Entstehung des modernen digitalen Warrant Canaries geführt.
Ein Warrant Canary ist eine Erklärung, die bestätigt, dass eine Webseite keine geheimen rechtlichen Forderungen von der Regierung erhalten hat. Sie ist oft in Fußzeilen von Webseiten oder in regelmäßigen Transparenzberichten verlinkt.
Solange Sie diese Erklärung auf einer Webseite sehen, wissen Sie, dass das FBI und andere Behörden keine Benutzerdaten heimlich abgerufen haben. Wenn der Canary weiter singt, wissen Sie, dass Sie auf der sicheren Seite sind.
Wenn aber das Singen aufhört – wenn die Warrant Canary Erklärung von der Seite entfernt wird – wissen Sie, dass es Ärger gibt.
Die Entfernung der Erklärung bedeutet, dass sie nicht mehr zutrifft. Das heißt, die Seite hat nun einen geheimen Auftrag der Regierung zur Herausgabe von Benutzerdaten erhalten.
Wie funktionieren Warrant Canaries?
Wenn die Regierung von einer Webseite Nutzerdaten verlangt, beinhaltet das oft eine Verschwiegenheitsanordnung. Diese untersagt es der Webseite, über den erlassenen Durchsuchungsbefehl zu sprechen oder zu berichten.
Natürlich bedeutet das, dass die Webseite ihren Nutzern nicht mitteilen kann, dass die Regierung ihre Daten hat.
Während die Verschwiegenheitsanordnung die Webseite daran hindern kann, die Wahrheit zu sagen, kann sie sie nicht zwingen, zu lügen.
In den USA verbietet der Erste Verfassungszusatz erzwungene Aussagen. Gesetzlich darf die Regierung niemanden zwingen, etwas zu sagen – insbesondere nicht, wenn die Aussage falsch wäre.
So kann die Webseite nicht gezwungen werden, den Warrant Canary (Hinweis auf unausgesprochene Überwachungsanfragen) zu erhalten, nachdem sie geheime Forderungen erhalten hat.
Indem sie diesen entfernt, offenbart die Seite das Vorhandensein der Forderungen, ohne sie explizit zu erwähnen. Sie bleibt konform mit der Verschwiegenheitsanordnung, ohne ihre Nutzer im Unklaren zu lassen.
Wir haben schon von Lügen durch Unterlassung gehört, aber eine Warrant Canary kann als Wahrheitsspruch durch Unterlassung betrachtet werden. Die Entfernung der Warrant Canary deutet darauf hin, dass es eine Lüge wäre, sie stehen zu lassen.
Wovor warnen Warrant Canaries?
Obwohl das für bestimmte Arten von Durchsuchungsbefehlen zutrifft, erfordern andere wenig bis gar keine Aufsicht.
Und wenn sie von Verschwiegenheitsanordnungen begleitet werden, sind jegliche Arten von Durchsuchungsbefehlen schlechte Nachrichten für eine Webseite und ihre Nutzer.
Nationale Sicherheitsschreiben
Ein National Security Letter (NSL), zum Beispiel, ermöglicht es der Bundesregierung, Informationen ohne Zustimmung eines Richters zu erhalten. Die einzige Voraussetzung ist, dass die Informationen die nationale Sicherheit betreffen.
Aber “nationale Sicherheit” ist unglaublich weit gefasst und kann alles von Terrorismus bis zur Äußerung abweichender politischer Meinungen online bedeuten.
Und “nationale Sicherheit” bietet auch eine hervorragende Ausrede, um zum NSL eine Verschwiegenheitsverfügung hinzuzufügen.
NSLs erlauben nur die Sammlung von Metadaten, nicht von tatsächlichem Inhalt. URLs können gesammelt, aber nicht der Inhalt von Webseiten; Telefonnummern können gesammelt, aber nicht die Anrufe selbst.
In diesem Sinne sind NSLs nicht so mächtig wie vollständige Durchsuchungsbefehle. Aber selbst URLs und Telefonnummern können als belastendes Beweismaterial in einer Vielzahl von Verbrechen, real oder vorgeblich, verwendet werden.
Und die einfache Ausstellung von NSLs bedeutet, dass sie mit beunruhigender Häufigkeit verwendet werden. Im Jahr 2009 (dem jüngsten Jahr, für das Daten verfügbar sind), stellte das FBI 30.442 NSLs (PDF-Link) aus; im Jahr 2008 waren es 41.299 NSLs.
Andere geheime Anordnungen
Andere Arten von geheimen Anordnungen beinhalten Abschnitt 702 Anordnungen, welche zur Datensammlung für das berüchtigte PRISM Programm verwendet werden. Diese Anordnungen erfordern keine Zustimmung eines Richters und gehen in der Regel mit Verschwiegenheitsgeboten einher.
Sogar justizielle Vorladungen und Durchsuchungsbeschlüsse können – und tun dies oft – Verschwiegenheitsgebote beinhalten. Dies gilt insbesondere, wenn sie unter dem Electronic Communications Privacy Act ausgestellt werden, der sich auf digitale Daten bezieht.
Wenn eine Website eine dieser Anordnungen zusammen mit einem Verschwiegenheitsgebot erhält, ist es ihr gesetzlich untersagt, ihre Nutzer davon in Kenntnis zu setzen.
Und genau hier kommt der Warrant Canary ins Spiel. Benachrichtigungen mögen illegal sein, aber deren Fehlen nicht.
Warrant Canaries können spezifische Benutzer nicht ins Visier nehmen, daher gibt es keine Möglichkeit zu wissen, ob Ihre eigenen Daten von der Regierung erhalten wurden.
Sie dienen jedoch als allgemeine Warnung: Diese Seite wird überwacht, seien Sie vorsichtig, wofür Sie sie verwenden.
Sind Warrant Canaries legal?
Behörden mögen Warrant Canaries sicherlich nicht, aber sie sind fast überall legal.
Sie sind besonders nützlich in den USA, im Vereinigten Königreich und in anderen Ländern, die Anordnungen zur Verschwiegenheit zulassen. In den USA, wo man nicht gezwungen werden kann zu lügen, sind sie besonders wertvoll.
In Ländern mit starken Datenschutzgesetzen wie der Schweiz sind sie jedoch weniger nützlich. Dort müssen die Nutzer direkt benachrichtigt werden, wenn ihre Daten von den Strafverfolgungsbehörden erhoben werden – das ist gesetzlich vorgeschrieben.
Leider sind Warrant Canaries nicht zukunftssicher. Jedes Land könnte potenziell ein Gesetz verabschieden, das Warrant Canaries verbietet, wie es Australien im Jahr 2015 getan hat.
Welche Seiten verwenden Warrant Canaries?
Seiten und Dienste, die besonderen Wert auf den Datenschutz der Benutzer legen, werden eher von Strafverfolgungsbehörden ins Visier genommen. Behörden neigen dazu, Datenschutzmaßnahmen als Hinweis auf illegale Aktivitäten zu interpretieren.
Glücklicherweise sind diese Seiten auch eher dazu geneigt, Warrant Canaries zu nutzen.
Ein Auge auf sie zu haben, wird dazu beitragen, Ihre Daten sicher zu halten.
VPNs
Viele Menschen nutzen virtuelle private Netzwerke, sogenannte VPNs, zu völlig legalen Zwecken.
Sie wollen einfach nicht, dass ihre Internetdienstanbieter oder Regierungen jeden ihrer Schritte überwachen – ein nachvollziehbarer Wunsch, wie wir finden.
Aber einige wenige missbrauchen VPNs, um Aktivitäten wie bösartige Hacking-Aktionen, Schwarzmarkthandel und sogar Terrorismus zu verschleiern. Durch die Verschlüsselungs- und IP-Verschleierungsfunktionen eines VPNs sind solche Benutzer praktisch unverfolgbar.
Es sei denn, das VPN erhält eine NSL (National Security Letter) oder eine ähnliche Anordnung.
Dann muss jede Information, die sich auf den betroffenen Benutzer bezieht, herausgegeben werden, einschließlich Nutzungsprotokolle (sofern vorhanden).
Um ihre Kunden hinsichtlich ihrer Privatsphäre zu versichern, haben viele VPNs sogenannte Warrant Canaries eingerichtet. Sollte der „Kanarienvogel“ verschwinden, wissen die Benutzer, dass das VPN gezwungen wurde, Benutzerdaten herauszugeben.
Das verdeutlicht, warum es wichtig ist, ein VPN zu wählen, das keine Aktivitätsprotokolle führt. Keine Regierungsanordnung, sei sie nun geheim oder nicht, kann ein VPN dazu zwingen, Informationen herauszugeben, die es tatsächlich nicht besitzt.
Und in vielen internationalen Gerichtsbarkeiten müssen VPN-Anbieter keine ausländischen Anforderungen zur Benutzerdatenausgabe erfüllen. Deshalb ist es auch wichtig, den Gerichtsstand und die relevanten Gesetze Ihres VPN zu recherchieren.
Aber auch ausländische VPN-Anbieter, die keine Nutzungsprotokolle führen, profitieren davon, wenn sie einen sogenannten ‘Warrant Canary’ haben.
Es ist wichtig, dass ein VPN so transparent wie gesetzlich möglich ist. Andernfalls können Sie sich Ihrer Sicherheit nicht sicher sein.
Das in Panama ansässige NordVPN, einer der beliebtesten Anbieter ohne Nutzungsprotokolle, führt auf seiner Uber uns-Seite einen ‘Warrant Canary’. Bis zum 27. November 2019 bestätigt der ‘Canary’, dass NordVPN keine sogenannten NSLs oder andere Vorladungen erhalten hat.
Auch der schweizerische VPN-Anbieter Perfect Privacy hat einen Warrant Canary, der bestätigt, dass er keine geheimen Anforderungen erhalten hat.
ProtonVPN, ein weiterer VPN-Anbieter aus der Schweiz, führt seinen ‘Warrant Canary’ in seinem Transparenzbericht. Da das Schweizer Recht keine Verschwiegenheitsanordnungen zulässt, geht ProtonVPN auf Erhaltene Vorladungen auch ausführlich in dem Bericht ein.
Soziale Medien
Die Giganten der Sozialen Medien, wie Facebook und Instagram, haben keine ‘Warrant Canaries’. Sie sind so groß, dass man grundsätzlich davon ausgehen sollte, dass sie viele National Security Letters (NSLs) und andere geheime Anordnungen erhalten.
Aber viele andere Social-Media-Websites haben – oder hatten – ‘Warrant Canaries’.
Sie würden Pinterest vielleicht nicht als Zentrum für Bedrohungen der nationalen Sicherheit sehen, aber das wäre wohl ein Irrtum. Im Jahr 2016 entfernte Pinterest seinen ‘Warrant Canary’, der seit 2013 bestand.
Pinterest hat auch seinen Transparenzbericht aktualisiert, um anzuzeigen, dass es 0-249 NSLs erhalten hat – die spezifischste Statistik, die die Seite anzeigen darf. Zuvor war die NSL-Zahl einfach 0.
2016 schien auch das Ende des ‘Warrant Canary’ von Reddit zu sein. Aufmerksame Nutzer bemerkten, dass er von seinem üblichen Platz im Transparenzbericht des Unternehmens fehlte.
Datenschutzorientierte Webdienste
Der verschlüsselte E-Mail-Anbieter Tutanota veröffentlicht alle sechs Monate einen Warrant Canary und Transparenzbericht. Da der Standort des Anbieters in Deutschland liegt, kann er Statistiken über die eingegangenen Anfragen veröffentlichen.
Die private Cloud-Speicherseite SpiderOak hat früher einen Warrant Canary veröffentlicht, hat diesen jedoch seit 2018 durch einen Transparenzbericht ersetzt. Das hat zu Spekulationen geführt, dass das Unternehmen einen NSL (National Security Letter) erhalten hat, was zur Entfernung des Warrant Canaries geführt hat.
Woher weiß ich, ob eine Seite einen Warrant Canary hat?
Leider verwenden nicht alle Seiten Warrant Canaries.
Und es kann schwierig sein, zwischen Seiten zu unterscheiden, die einfach keinen haben, und Seiten, die sie nach Erhalt einer Anordnung entfernt haben.
Die Electronic Frontier Foundation (EFF) pflegte einst Canary Watch, eine Datenbank von Warrant Canaries und deren Status. Aber seit 2019 existiert die Seite nicht mehr.
Heutzutage müssen Sie ein wenig recherchieren, um herauszufinden, ob eine Seite einen Warrant Canary hat.
Suchen Sie nach “[Seitenname] Warrant Canary” und sehen Sie, ob irgendwelche Ergebnisse auftauchen. Sie könnten den eigentlichen Warrant Canary selbst finden (falls er noch aktiv ist) oder andere Seiten, die ihn erwähnen.
Wenn Sie den tatsächlichen Canary finden und die Seite noch aktiv ist, wissen Sie, dass die Seite sicher ist.
Aber wenn Sie ihn nicht finden können, müssen Sie genauer nachforschen.
Wenn Warrant Canaries auf populären Seiten entfernt werden, berichten Technik-Nachrichtenseiten oft darüber. Versuchen Sie, über die “News”-Funktion von Google solche Ergebnisse zu finden.
Sie können auch die Wayback Machine nutzen, um zu sehen, ob eine Seite zuvor einen Warrant Canary enthalten hat. Überprüfen Sie einige Archive und Sie können vielleicht den Zeitpunkt bestimmen, an dem der Canary verschwunden ist.
Wenn Sie keine Hinweise auf einen Warrant Canary finden können, versuchen Sie, den Seitenbetreiber zu kontaktieren. Sie dürfen Ihnen mitteilen, ob die Seite einen Warrant Canary hat (oder hatte), auch wenn sie Ihnen nichts über spezifische Anordnungen sagen dürfen.
Abschließende Gedanken
Webseiten verwenden Warrant Canaries, um anzuzeigen, dass sie geheime Regierungsanfragen für Daten erhalten haben. Diese rechtliche Lücke ermöglicht es ihnen, Auskunftsverbote zu umgehen, die dazu gedacht sind, die Nutzer im Unklaren zu lassen.
