Zombie lechzt nach Daten

Kryptospenden: Weder anonym noch folgenlos

«Ich habe nichts zu verbergen!» ist die Standardantwort, wenn es um den Schutz der eigenen Daten geht. Trotzdem nutzen wir alle Vorhänge, Passwörter, Türen und Briefumschläge.

Für den seit Jahren in der Schweiz lebenden Informatiker Ihar (Name geändert) aus Belarus hat sich das in den letzten Wochen drastisch geändert.

«Ich weiss nicht, ob ich bei meinem nächsten Besuch bei meiner Familie direkt im Gefängnis lande», befürchtet er. Seine Familie hat er seit 2019 nicht mehr gesehen und die belarussischen Gefängnisse unter dem autoritären und repressiven Machthaber Lukaschenko sind für ihre Anwendung von Folter, sexuellem Missbrauch und Misshandlungen berüchtigt.

Er geht davon aus, dass er in Belarus inzwischen als Unterstützer einer „extremistischen Vereinigung“ fichiert ist. In Belarus gilt inzwischen fast alles Regierungs­kri­ti­sche als extremistische Vereinigung. Und das alles wegen der grössten Kryptobörse.

Binance und Brüderchen Russland

Binance ist die grösste Börse für Kryptowährungen mit einem täglichen Handelsvolumen von umgerechnet etlichen Milliarden Franken. Gegründet wurde sie 2017 von Changpeng Zhao („CZ“) in China. Kurze Zeit später verlegte Binance seinen Firmensitz jedoch auf Malta, wo sie keine Lizenz bekamen und unbekannt weiterzogen. Heute ist CZ stolz darauf ist, dass Binance keinen Firmensitz habe. Es gibt allerdings Hinweise auf Firmeneintragungen auf den Cayman Islands und den Seychellen.

Binance wurde bekannt dafür, den Finanzaufsichts­behörden die kalte Schulter zu zeigen. Nicht so jedoch in Russland, wo Binance schon länger eine fast monopolistische Stellung besitzt. Diese hat sich durch den Rückzug anderer Kryptobörsen aus Russland in den letzten Monaten noch weiter gefestigt.

Seit diesem Frühling ist bekannt, dass Binance seit 2021 freund­schaftliche Beziehungen zum FSB-nahen Rosfin­moni­toring pflegt, wahrscheinlich motiviert durch den Wunsch, Nawalnys Stiftung zur Korruptions­be­käm­pfung finanziell auszutrocknen. Es liegt nahe, dass im Gegensatz zu anderen Ländern zwischen Russland und Binance auch Daten zu fliessen; aber handfeste Beweise gibt es nicht.

Die Spende

Davon wusste aber Ihar noch nichts, als im Februar Russland via Belarus in die Ukraine einmarschierte. Er folgte wenige Tage nach dem Beginn der „Spezialoperation“ dem Aufruf der oppositionellen belarussischen Organisation Busly Ljacjac, welche zu Spenden für ihre Unterstützung der Ukraine aufrief. Von seinem Binance-Account aus stiess Ihar eine Transaktion auf das offizielle Bitcoin-Konto von Busly Ljacjac an, im Gegenwert von wenigen hundert Franken.

Kurze Zeit später wurde er informiert, dass die Überweisung nicht abgeschlossen hätte können. Er dachte sich nichts dabei. Als er einige Wochen später einem Kollegen ebenfalls Geld via Binance zurückgeben wollte, erschien folgende Meldung:

Screenshot Binance-Dialog: "Your account may be at risk. Please contact Customer Support for further assistance."
„Your account may be at risk“

Wir alle wissen, wie mühsam Customer Support ist, und die schönsten Horrorstories erzählt man nach Versuchen mit internationalen Nur-Online-Firmen. Ihar versuchte es also einfach einige Tage später nochmals. Das Resultat war dasselbe.

Screenshot Binance-Alert: "we temporarily disabled your account's login functionality. Please contact our support."
„We temporarily disabled you account’s login functionality.“

Ein paar Stunden später sah die Sache aber ganz anders aus:

Screenshot Binance-Mail: "[Binance] Account Deactivation Notice. Thank you for your support of Binance. This is to inform you that your account has been flagged by a third party compliance tool and we have taken a tough decision to terminate the service. You may fully withdraw your funds, and we ask that you do it before [one week]. […]"
„Account Deactivation Notice“

Es führte also kein Weg mehr um den Support herum. Und ja, in bester Online-Manier zog sich der Customer-Support-Chat in die Länge: Vertrösten, Vertrösten, Weiterverbinden, Vertrösten. Und dann nochmals von vorne. Die Antwort kam erst nach über einem Monat: «Wir schliessen ihr Konto, sie haben 7 Tage Zeit, dann ist das Geld weg.» (Im Gegensatz zu anderen Fällen konnte Ihar seine Kryptos inzwischen in Sicherheit bringen.)

Ist doch alles halb so schlimm?

«Ist doch egal, dann haben die halt einen Kunden weniger», möchte man denken. Dumm ist nur, dass auch Kunden wie Ihar sich nun möglicherweise einer Gefahr für Leib und Leben ausgesetzt sehen:

  1. Es gibt scheinbar eine gute Zusammenarbeit zwischen dem russischen FSB und Binance.
  2. Der FSB arbeitet eng mit dem belarussischen KGB zusammen.
  3. Die Erfahrungen von Ihar legen den Verdacht nahe, dass Binance Blacklists mit belarussischen Konten pflegt; aufgrund der für Binance ungewöhnlich engen Zusammenarbeit vermutlich gefüttert von FSB und KGB.
  4. Es scheint also zumindest plausibel, dass auch Informationen in die Gegenrichtung fliessen. Binance kennt dazu auch mindestens die Informationen aus der Identitätskarte.

Wer sich also gegen ein repressives Regime oder einen unrechtmässigen Angriffskrieg einsetzt, muss damit rechnen, dass auch alte Daten gegen ihn eingesetzt werden.

Für Ihar ist die Sache klar: «Ich kann dieses Risiko nicht eingehen. Ich werde meine Familie deshalb weiterhin nur auf dem Bildschirm sehen. Mein Job und mein Leben sind mir zu wichtig.»

Ihar ist nicht alleine

Wir wissen nicht, was mit Ihars Daten wirklich geschah. Aber immer wieder werden einmal gesammelte Daten plötzlich für andere oder unerwartete (und unerwünschte) Zwecke verwendet.

Vielen dürfte aus dem Geschichtsunterricht noch in Erinnerung sein, wie die im niederländischen Bevölkerungsregister erfasste Religionszugehörigkeit wenige Jahre spä­ter von den Nazis zur Judenver­folgung missbraucht wurde. Inzwischen passiert das schon fast täglich, wie aktuelle Beispiele zeigen:

  1. Bleiben wir bei Kryptowährungen: Die Blockchain vergisst nie. Keine Transaktion. Auch keine Transaktion zu/von einem Mixer, mit dem Transaktionen anonymisiert (oder gewaschen) werden können. Für US-Amerikaner sind solche Transak­tionen nun verboten. (Matthew Green erläutert, was das für die Privatsphäre von Zahlungen auf der Blockchain bedeutet.)
  2. Die privaten Chats einer Teenagerin werden im US-Bundesstaat Nebraska verwendet, um sie wegen einer in diesem Staat seit kurzem illegalen Abtreibung vor Gericht zu bringen.
  3. Dass frau einen Schwangerschaftsabbruch hatte oder auch nur schon über die „Pille danach“ nachdachte, verraten ganz viele Apps auf ihrem Smartphone, nicht zuletzt Menstruationsapps. Infolge des (auch datenschutztechnisch) ausufernden Werbemarkts kaufen Firmen aber auch (US-)Behörden fleissig Bewegungsprofile von Personen.

Was nun?

Das Gemeine ist: Privatsphäre wird erst wichtig, wenn es eigentlich schon zu spät ist. Wenn das, was heute legal war, morgen illegal wird.

Frederike Kaltheuner, Human Rights Watch

Neben den spezifischen Risiken dieser Fälle haben sie eines gemeinsam: Sie zeigen auf, wie gefährlich oder toxisch Daten sein können und dass Datenreichtum gravierende Nebenwirkungen, bis zu Gefahr für Leib und Leben haben kann.

Aus diesem Grund sehen Datenschutzgesetze wie die DSGVO auch die Datenminimierung und Privacy by Design vor. Das Schweizer Datenschutzrecht hinkt da deutlich hintennach, auch wenn es jetzt schon nachträgliche, einseitige Änderungen des Zwecks der Datennutzung verbietet. Das kommende neue Datenschutz­gesetz (nDSG) macht da Schritte in die richtige Richtung.

Unabhängig davon können Datenverarbeiter schon jetzt versuchen, Daten möglichst nicht zu erfassen; sie vor Missbrauch geschützt zu speichern (z.B. anonymisiert oder verschlüsselt); und sie möglichst rasch zu löschen (z.B. Blockchain-Technologie zu vermeiden).

Wir Nutzer können (und sollen!) auch unseren Beitrag zur Datenvermeidung leisten, in dem wir möglichst datenschutzfreundliche Dienste nutzen.

Teile Diesen Beitrag

Ein Kommentar

  1. Danke für den spannenden Bericht! Auch die Schweizer Behörden nutzen die Möglichkeit, Kryptozahlungen auf der Blockchain zurückzuverfolgen, etwa bei Cyber-Erpressungen. Eine kleine Korrektur: Die Aussage im drittletzten Absatz betreffend das heutige Datenschutzgesetz in der Schweiz ist nicht richtig. Es hinkt keineswegs nach, höchstens seine Durchsetzung. Der Grundsatz der Datenminimierung gilt hierzulande schon seit 1993 (Art. 4 Abs. 2 DSG) und der Grundsatz des „Privacy by Design“, wie ihn das neue Gesetz vorsieht, ebenso (und er bedeutet übrigens nicht das, was die Leute sich landläufig unter dem Schlagwort oft vorstellen, nämlich dass technische Produkte von Anfang an datenschutzkonform sein müssen; das gilt nur für deren Anwendung, und das war ja schon immer so; früher schrieb man einfach nicht ins Gesetz, dass jeder das Gesetz einzuhalten hat und darauf achten muss, dass er von Anfang an daran denkt). Die neuen Formulierungen im Gesetz sind also nur für die Bühne. Eine der grossen datenschutzrechtlichen Probleme mit Techniken wie die öffentliche Blockchain ist, dass es eigentlich niemanden mehr gibt, der verantwortlich ist, also es niemanden gibt, der sich einklagen liesse. Das kann in Staaten ohne funktionierendes Rechtssystem, mit Korruption etc. sinnvoll sein, andernorts dagegen dazu führen, dass Gesetze nicht eingehalten werden. Die Blockchain selbst kann ich schlecht vor den Kadi ziehen …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.