CHAT CONTROL V. – Warum und wie wir uns gegen das identifizierte Internet wehren sollten
Misstrauen ist rational
Jüngste Vorfälle zeigen, dass selbst große Institutionen und Betreiber kritischer Dienste immer wieder die Kontrolle über identitätsbezogene Daten verlieren.
- Die Europäische Kommission erlitt 2026 zwei separate Sicherheitsverletzungen, bei denen Angreifer auf Cloud-Systeme und staatliche Infrastruktur zugreifen konnten.
- Ende 2025 wurden bei Eurail, dem Betreiber der beliebten Interrail- und Eurail-Pässe, die Daten von mehr als 300.000 Reisenden gestohlen, darunter Passnummern und andere staatlich ausgestellte Identifikationsmerkmale.
- In noch größerem Ausmaß legte der Ransomware-Angriff auf Change Healthcare im Jahr 2024 medizinische Akten, Versicherungsdaten und Identitätsinformationen von fast 193 Millionen Menschen in den Vereinigten Staaten offen.
- Indiens biometrisches Identitätssystem Aadhaar, das mehr als eine Milliarde Bürger erfasst, war im Laufe der Jahre von mehreren Datenlecks betroffen, während bei Plattformen wie Facebook die Profile von Hunderten Millionen Nutzern automatisiert ausgelesen und veröffentlicht wurden.
- Unternehmensbezogene Sicherheitsverletzungen wie der Adobe-Vorfall von 2013, bei dem 153 Millionen Kundendatensätze kompromittiert wurden, folgen demselben Muster.
- Microsoft gab 2023 bekannt, dass Angreifer Authentifizierungstoken gefälscht und Zugriff auf E-Mail-Konten von Regierungsbehörden und mit ihnen verbundenen Personen erlangt hatten.
- Google stellte seinen Google+-Dienst für Privatnutzer ein, nachdem API-Fehler private Profilinformationen offengelegt hatten, während bei Adobes Sicherheitsverletzung von 2013 Kundenidentitäten, verschlüsselte Passwörter und zahlungsbezogene Informationen kompromittiert wurden.
Identitätssysteme verschärfen die Folgen solcher Sicherheitsverletzungen, weil die offengelegten Informationen, darunter Identitätsdokumente, Altersnachweise, Gerätekennungen und Aufzeichnungen über Online-Aktivitäten, zu wertvollen Zielen für Kriminelle, feindliche Akteure, Geheimdienste und Insider werden.
Die Weigerung, unnötige persönliche Daten herauszugeben, ist daher weder Paranoia noch Technikfeindlichkeit oder ein Hinweis darauf, dass jemand beabsichtigt, eine Straftat zu begehen, sondern eine rationale Reaktion.
Die sicherste Identitätsdatenbank ist noch immer jene, die niemals angelegt wurde.
Was kann man tun?
Kein einzelnes Werkzeug und keine einzelne Einstellung kann das strukturelle Problem lösen. Die realistische Reaktion ist daher begrenzter: die Menge identifizierbarer Daten reduzieren, die sich an einem Ort ansammelt, voneinander unabhängige Aktivitäten getrennt halten und die praktische Kontrolle über jene Geräte und Programme behalten, die Signale über uns erzeugen.
Identifizierte und private Aktivitäten voneinander trennen
Die meisten Menschen können identifizierte Konten nicht vollständig vermeiden. Banken, Arbeitgeber, Steuerbehörden, Verträge und viele offizielle Dienste verlangen die echte Identität und Zahlungsdaten.
Das Problem ist nicht die Existenz solcher Konten. Das Problem ist die Annahme, dass auch jede andere Aktivität, darunter Lesen, Recherche, politische Interessen, medizinische Fragen und private Gespräche, innerhalb derselben Umgebung stattfinden sollte.
Verwendet eine normale, identifizierte Umgebung für alles, was sie tatsächlich erfordert. Haltet alles andere davon getrennt.
Nutzt unterschiedliche E-Mail-Adressen, Browserprofile oder Browser und Benutzerkonten für Themen, die nicht mit eurer rechtlichen Identität, eurer Zahlungshistorie oder eurem sozialen Netzwerk verknüpft werden sollen.
Weigert euch, ein einziges, dauerhaftes Dossier über rechtmäßiges Verhalten aufzubauen, das später durchsucht, veröffentlicht oder nachträglich umgedeutet werden kann.
Universelle Anmeldesysteme erschweren diese Trennung absichtlich. Vermeidet sie, wo immer es möglich ist. Gebt Telefonnummern, Wiederherstellungsadressen oder Zahlungsmethoden nicht einfach deshalb heraus, weil eine Plattform danach fragt. Deaktiviert oder löscht Werbekennungen auf Ebene des Betriebssystems, sofern diese Möglichkeit besteht.
Geräteattestierung ist die eigentliche Eskalation
Die nächste Kontrollstufe ist der kryptografische Nachweis, dass das eigene Gerät und Betriebssystem zugelassen sind.
Linux macht einen Nutzer nicht anonym. Es reduziert jedoch die Abhängigkeit von einem einzigen Unternehmen, das Betriebssystem, Anwendungsverteilung, Cloud-Dienste und Werbeidentität in einer kontrollierten Umgebung miteinander verknüpfen kann.
Auf Smartphones sind die Möglichkeiten begrenzter, doch Projekte wie GrapheneOS zeigen, dass es weiterhin möglich ist, weitverbreitete Dienste zu verwenden, ohne ihnen privilegierten Zugriff auf das System zu gewähren.
Open-Source-Software und unabhängige Betriebssysteme zu unterstützen, ist daher nicht nur eine technische Vorliebe. Es ist eine Möglichkeit, Ausweichmöglichkeiten offenzuhalten, bevor Geräteattestierung zu einer weitverbreiteten Voraussetzung für gewöhnlichen Zugang wird.
Werkzeuge haben Grenzen
Ein VPN verbirgt eure IP-Adresse vor Websites und eurem Internetanbieter. Gegen Browser-Fingerprinting, Account-Tracking oder Software, die direkt auf dem Gerät läuft, hilft es nicht. Es ist nützlich, um einfache Geoblockaden zu umgehen und die Sichtbarkeit für das lokale Netzwerk zu reduzieren. Eine sinnvolle Trennung entsteht dadurch jedoch nicht, solange ihr weiterhin in identifizierte Konten eingeloggt bleibt.
Der Tor Browser wurde für ein anderes Bedrohungsmodell entwickelt. Er versucht, Nutzer möglichst gleich aussehen zu lassen, und verbirgt ihren Ursprung vor dem Zielserver. Er ist geeignet, wenn verhindert werden soll, dass eine bestimmte Aktivität mit einer dauerhaften Identität verknüpft wird. Die Anmeldung bei einem Klarnamenkonto innerhalb von Tor macht diesen Zweck weitgehend zunichte.
Ende-zu-Ende-Verschlüsselung schützt Nachrichten während der Übertragung weiterhin vor Dienstanbietern und Netzwerkbeobachtern. Sie schützt jedoch nicht vor kompromittierten Geräten, Spionagesoftware oder Betriebssystemen, die Inhalte lesen können, bevor sie verschlüsselt werden. Eine starke Gerätesicherheit und eine sorgfältige Verwaltung von Berechtigungen bleiben daher zusätzlich zur Verschlüsselung notwendig.
Cookies sind nicht mehr die wichtigste Tracking-Methode!
Drittanbieter-Cookies werden schrittweise abgeschafft, und Fingerprinting sowie Account-Anmeldungen sind leistungsfähiger. Dennoch spielen Cookies aus zwei Gründen weiterhin eine Rolle.
- Sie helfen dabei, Aktivitäten über verschiedene Websites hinweg zu verknüpfen, wenn ihr eingeloggt seid oder dauerhafte Cookies gespeichert bleiben.
- Außerdem gehören sie zu den Dingen, die sich mit vergleichsweise geringem Aufwand voneinander trennen lassen.
- Und sie haben uns dieses nervige Banner beschert.
Die Abhängigkeit von konzentrierten Plattformen reduzieren
E-Mail, Suche, Diskussionen und Veröffentlichungen erfordern technisch gesehen nicht die größten Plattformen.
Sie haben sich dort konzentriert, weil diese Dienste bereits über die Zielgruppen und Inhalte verfügen, die Menschen erreichen wollen.
Unabhängige E-Mail-Anbieter, Suchmaschinen, Foren, Websites und selbst gehostete Dienste reduzieren die Abhängigkeit von jenen Systemen, die am stärksten davon profitieren, alles miteinander zu verknüpfen.
Informationen, die ausschließlich innerhalb einer einzigen Plattform existieren, können ohne Vorwarnung verschwinden.
Bewahrt wichtige Dokumente, Recherchen und Veröffentlichungen lokal und in offenen Formaten auf, wie es auch diese Seite versucht.
Direkte Abonnements und unabhängige Websites ermöglichen es Autoren, ihre Leser ohne algorithmische Genehmigung zu erreichen. Wenn ihr solche Angebote findet, nutzt sie.
Technische Maßnahmen reichen nicht aus
Trennung, Verschlüsselung, Tor und unabhängige Betriebssysteme können die eigene Sichtbarkeit reduzieren.
Sie können jedoch keine Rechte wiederherstellen, die durch das Rechtssystem abgeschafft wurden.
Wenn große Dienste verpflichtet werden, Nutzer oder Geräte abzuweisen, die keine genehmigte Identität vorlegen, werden technische Umgehungsmöglichkeiten zunehmend fragil.
Funktionierende Alternativen zu unterstützen und weiterzuempfehlen, ist eine der wenigen Möglichkeiten, mit denen Einzelne noch sinnvoll Einfluss nehmen können.
Privatsphäre ist kein Schuldeingeständnis
Die Behauptung, Menschen, die nichts zu verbergen hätten, müssten auch nichts fürchten, stellt das richtige Verhältnis zwischen dem Einzelnen und dem Staat auf den Kopf.
Ein Mensch muss seine Unschuld nicht beweisen, bevor ihm ein privates Gespräch, eine unbeobachtete Suche oder eine anonyme politische Meinung gestattet wird. Die Behörden müssen einen konkreten und rechtmäßigen Grund nachweisen, bevor sie solche Aktivitäten mit einer rechtlichen Identität verknüpfen dürfen.
Das Fehlen von Privatsphäre macht nicht nur Fehlverhalten sichtbar. Es verändert das Verhalten bereits im Voraus.
Wenn Menschen davon ausgehen, dass ihre Suchanfragen, Kontakte und Gespräche später außerhalb ihres ursprünglichen Zusammenhangs geprüft werden könnten, meiden sie schwierige Themen, stellen bestimmte Fragen nicht mehr und ziehen sich aus Bewegungen zurück, lange bevor überhaupt ein formelles Verbot ausgesprochen wird.
Diese Selbstzensur ist kein Nebeneffekt eines identifizierten Internets.
Sie ist eine seiner zentralen beabsichtigten Funktionen.
Eine freie Gesellschaft ist nicht eine Gesellschaft, in der unschuldigen Menschen gestattet wird, Straftaten zu verbergen.
Eine freie Gesellschaft ist eine Gesellschaft, in der gewöhnliche Menschen nicht gezwungen sind, ihr gesamtes Leben offenzulegen, nur um zu beweisen, dass sie keine Straftat begangen haben.
Liebe Leserinnen und Leser, wenn ihr bis hierher gekommen seid: Vielen Dank. Holt euch ein Eis.
Ihr habt es euch verdient. <3