Riseup.net: Was nun?


Vor einigen Tagen wurde ich mit der Frage konfrontiert, wie denn nun die Situation bei riseup.net aussieht? Ist der Dienst nun kompromittiert worden oder nicht? Wenn ja: Was ist zu tun? Steht nun die Flucht auf eine andere Plattform an oder bleibt doch eh irgendwie alles beim alten?

Kurz ein Blick zurück: In meinem letzten Blogartikel habe ich vom Ablauf des Riseup.net Canary’s berichtet und die Schlüsse, die daraus gezogen werden können. Kurz gesagt: Ein behördlicher Zugriff auf die Infrastruktur des riseup.net Netzwerks ist nicht ausgeschlossen, sondern sogar recht wahrscheinlich. Am 26.11 hat auch Heise Online darüber berichtet:

RiseUp, ein Anbieter verschlüsselter E-Mail-Kommunikation, hat seinen Warrant Canary nicht aktualisiert – das wird als Hinweis darauf gewertet, dass staatliche Stellen in den USA die Herausgabe von Nutzerdaten gefordert haben könnten.

Aktueller Stand ist folgender: Der Riseup Canary wurde NICHT aktualisiert. Ein offizielles riseup.net Statement auf Twitter zum Thema Canary gibt es bis heute nicht. Riseup.net hat auf Twitter jedoch folgendes retweetet

Im englischsprachigen Artikel wird ein anonymer Riseup.net Vertreter zitiert, der zwar nicht sagen kann, warum sich Riseup.net nicht offiziell zu der Situation äussern kann, aber um Vertrauen bittet.

Zusammengefasst: Die Lage hat sich seit einem Monat nicht geändert. Eines von zwei Szenarien trifft zu: Entweder gab/gibt es einen Zugriff der staatlichen Behörden oder riseup.net hat beschlossen ihren Canary zu ignorieren und akzeptiert die Verwirrung und die Unsicherheit von Aktivist*innen. Keines der beiden Szenarien ein Grund zur Freude.

Es stellt dich praktisch die Frage: Was nun bzw. tun? Ich plädiere für folgendes Vorgehen:

Die Riseup E-Mail Infrastruktur sollte nicht mehr als vertrauenswürdig eingestuft werden. Genauso wie E-Mails bei gmail/gmx/… auf potentiell feindlich gesinnter Infrastruktur gespeichert sind. Es gilt also – wie bei riseup als auch bei anderen Mailprovidern: Wer Mails mit PGP verschlüsselt und entweder via VPN oder Tor anonymisiert mit Mailservern kommuniziert, sollte vergleichsweise sicher unterwegs sein.

Riseup.net bietet jedoch eine Fülle von weiteren Services an: Chat (via Jabber)VPN, die Wiki und Gruppenorganisationsplattform we.riseup.net, einen Etherpad und ein Fileupload Service. All diesen Plattformen ist die Sicherheit von GPG nicht out-of-the-box enthalten. Wie einfach sich Diskussionen im we.riseup.net lesen bzw. nachträglich ohne des Wissens von Aktivist*innen ändern lassen, ist unklar.

Dasselbige trifft auf die anderen Services zu. Gerade den VPN Service von riseup.net, der ja als Anonymisierungstool verwendet kann, würde ich meiden. Nicht deshalb meiden, weil es Services von anderen Anbietern gibt, die auf jeden Fall sicherer wären, sondern vielmehr deswegen, weil es eben eine höhere Wahrscheinlichkeit eines behördlichen Zugriffs gibt. Dieses Problem trifft auf die Nutzung aller Technologien/Tools zu, welche Infrastruktur in fremder Hand benötigen, aber keine End-zu-End Verschlüsselung (wie eben zb PGP oder Signal) verwenden.

Einwände und Kritik bitte als Kommentar hinterlassen!

Update:

  • Als eine riseup.net Etherpad Alternative kommt CryptPad in Frage.
Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: