Repression gegen politische Onlineshops: Analyse der Hausdurchsuchung bei Kreaktivisten.org
Am Dienstag, den 12.07.16 wurde der Vereinssitz vom Trägerverein des Projektes kreaktivisten.org durchsucht.
Ziel der Durchsuchung war es, (Onlineshop-)Bestelldaten des letzten Jahres ausfindig zu machen, um eine*n Aktivist*in zu fassen der*die in Supermärkten Aufkleber auf Produkte geklebt hat. Im Zuge der Hausdurchsuchung wurde der Sitz des Vereins durchsucht, jedoch wurden weder Bestelldaten gefunden, noch etwas beschlagnahmt. Wie immer hielten die Chaot*innen der Polizei es nicht für nötig, das Durcheinander, welches sie veranstaltet haben, hinterher wieder aufzuräumen.
Wir wollen die aktuelle Hausdurchsuchung einmal zum Anlass nehmen, um den polizeilichen Ermittlungsansatz „Onlineshop“ in den Fokus zu rücken und Umgangsstrategien damit zur Debatte stellen. Die Hausdurchsuchung ist leider kein Einzelfall, sondern der Höhepunkt von polizeilichen Einschüchterungstaktiken gegen das Projekt kreaktivisten.org. Auch wissen wir, dass wir nicht der einzige politische Onlineshop sind, der mit Polizei zu tun hat. So gab es beim Black Mosquito Mailorder bereits mehrere Hausdurchsuchungen und auch von anderen "befreundeten" Shops ist uns bekannt, dass dort öfters mal Polizeipost eingeht. In soweit handelt es sich bei der Hausdurchsuchung um keinen Einzelfall, sondern um ein polizeiliches Vorgehen, das öfter anzutreffen ist.
Aber wie kommen Polizist*innen dazu Hausdurchsuchungen wegen verklebter Sticker zu machen?
Zunächst einmal wurden wir nicht von vornherein hausdurchsucht. Dem Ganzen gingen Briefe der Polizei voraus, in denen sie unsere Bestelldaten des letzten Jahres für einen bestimmten Postleitzahlenbereich forderten. Wohlgemerkt, ohne sich dabei auf irgendeine Rechtsgrundlage zu beziehen (Rechtsgrundlagen sind wohl was für Spießer*innen). Frei nach dem Motto: Wir sind die Polizei, wir sind bewaffnet und wenn wir etwas wollen, dann haben wir das auch zu bekommen.
Das Problem ist, dass diese Einschüchterung wohl oft klappt. Zumindest in dem vorliegenden Fall war ein weiterer Onlineshop eingeschüchtert genug, um auszusagen, dass es bei ihm keine auf die Anfrage betreffenden Bestellvorgänge gab. Wir vermuten, dass auch andere politische Onlineshops sich dem Druck der Polizei beug(t)en. Allein durch die Tatsache, dass unsere Aufkleber jetzt nicht wesentlichrelevanter sind (oder die selben sind), als die Produkte anderer Shops, wäre es sehr suspekt, wenn diese anderen Shops noch nie Stress mit der Polizei gehabt hätten. Da dazu jedoch so gut wie nie etwas öffentlich gemacht wurde, lässt das zumindest die These zu, dass mit der Polizei kooperiert wurde(im Sinne von Aussagen machen o.ä.). Natürlich kann es auch sein, dass Onlineshops sich weigern Daten an die Polizei weiter zu geben und diese polizeilichen Anfragen, aus Angst bei ihnen würde nicht mehr bestellt, der Öffentlichkeit gegenüber verschweigen. Wir finden es jedoch wichtig, dass Repression immer klar benannt und auch öffentlich gemacht wird. Zudem können wir an der Stelle berichten, dass die Hausdurchsuchung dafür gesorgt hat, dass wir mehr Bestellungen hatten, nicht weniger.
Uns ist auch bewusst, dass es Onlineshops gibt, die des öfteren Polizeistress hatten und die über Jahre hinweg die Politik der Aussageverweigerung gegenüber der Polizei durchgezogen haben. Das sind aber auch die Projekte, bei denen die Polizei gar nicht mehr anfragt, sondern von vornherein hausdurchsucht. Auffällig ist nur, dass auf scheinbar unerklärliche Weise manche Projekte Repression abbekommen, während andere davon verschont bleiben. Wir vermuten, dass es mehrere Onlineshops gibt, die sich dem Druck der Polizei beugen und die Polizei sich dann mit Ihrer Repression auf Projekte konzentrieren kann, die eine Kooperation verweigern. Ein geschlosseneres Verweigern jeglicher Kooperation mit der Polizei, an dem sich alle Onlineshops beteiligen, könnte hier dazu führen, dass es schlicht nicht leistbar ist überall einschüchternde Hausdurchsuchungen durchzuführen. Dies würde letztlich einen enormen Sicherheitsgewinn für alle, die in entsprechenden Onlineshops bestellen, bedeuten.
Welche Möglichkeiten gibt es, um sich als Onlineshop der Polizei zu verweigern?
Zunächst einmal ist es für viele Shops natürlich sehr hinderlich bis hin zu existenzbedrohend, wenn bei ihnen Hausdurchsuchungen gemacht werden. So gibt es oft für wichtige Infrastruktur wie Computer und Server keinen Ersatz bzw. kein verstecktes Backup, um das Shopsystem nach Beschlagnahmung gleich wieder in Betrieb nehmen zu können. Das erhöht natürlich den Druck eine Hausdurchsuchung zu vermeiden deutlich. Wenn man sich vorher darüber Gedanken macht, wie der Shop trotz Hausdurchsuchung weiter funktionieren kann, stellt man fest, dass das gar nicht so schwierig ist. Systeme lassen sich backupen und verschlüsselt und versteckt aufbewahren. Dass alle Produkte beschlagnahmt wurden, ist unseres Wissens nach noch nie vorgekommen. In der Durchsuchungsituation selbst, oder der Situation einer angedrohten Durchsuchung, ist es natürlich dann meist zu spät und der Shop durch Beschlagnahmung des Servers lahmgelegt.
Was uns auch ziemlich ärgert ist, dass es bei Onlineshops zum guten Ton gehört, sämtliche Kundendaten zu speichern und über Jahrzehnte aufzuheben. Das ist aus kapitalistischer Sicht natürlich sehr nützlich um schöne bunte Newsletter versenden zu können und Kundenkonten anzulegen, aber ansonsten eben für die Besteller*innen oft gefährlich. Die Daten in den Händen der Polizei, oder beispielsweise von Nazis, sind eine reale Gefahr für alle Menschen die bestellt haben (beides kam übrigens schon vor). In diesem Sinne sollte bei der Speicherung von Kund*innendaten um einiges mehr Verantwortungsbewusstsein gezeigt werden! Kreaktivisten.org und auch einige andere Onlineshops löschen die Namen und Adressdaten nachdem die Bestellung verschickt wurde. Wo keine Daten vorhanden sind, können diese auch nicht in falsche Hände geraten. Gegen die, an dieser Stelle oftmals als Argument bemühte, Buchhaltungspflicht verstößt es übrigens in keiner Weise: Wir sind nicht dazu verpflichtet die Kundendaten zu speichern. Im Supermarkt sind die Rechnungen schließlich auch nicht mit einem Namen versehen.
Auch fänden wir es schön, wenn mehr Shops eine Bestellung per PGP-verschlüsselter Mail annehmen würden und zudem mehr "Kund*Innen" die Möglichkeit nutzen würden, verschlüsselt zu bestellen. Zwar sind inzwischen die meisten Shopsysteme mit einer TSL-Verschlüsselung (die Standart-Verschlüsselung beim Surfen auf Internetseiten) ausgestattet, aber meistens erfolgt die Bestellbestätigung über unverschlüsselte Mails zurück an den*die Empfänger*in. An diesem Punkt ist es natürlich sehr einfach Bestelldaten aus der Mail abzugreifen. Uns ist nicht bekannt ob so etwas schon mal vorkam wurde, möglich ist es aber auf alle Fälle. Das ganze Problem lässt sich mit der Einrichtung und auch Nutzung (!) von PGP verschlüsselter Bestellung umgehen.
Was kann ich als Besteller*in tun, um sicher im Internet zu bestellen?
Zu aller erst gilt natürlich mal Daten zu vermeiden: Es ist zum Beispiel eine schlechte Idee sich ein Onlinekonto bei Versandhändlern einzurichten, darin sind nämlich praktischerweise alle Bestellungen, die du jemals getätigt hast, aufgelistet. Aber auch wenn du ohne Kundenkonto bestellst, werden deine Daten oft jahrelang aufbewahrt. Schreibe die Shopbetreiber*innen an und erkläre ihnen, warum das gefährlich ist und warum du das nicht möchtest. Vielleicht können so mehr Shops dazu bewegt werden, einen verantwortungsvollen Umgang mit Bestelldaten zu entwickeln.
Bei Shops in denen du mit PGP-verschlüsselter Mail bestellen kannst, ist das natürlich eine schöne Möglichkeit, um zu vermeiden dass deine Kundendaten in irgendwelchen automatischen Shopsystemen landen. Bestellungen per PGP werden nicht in Datenbanken abgelegt (wie das bei Bestellungen über den Webshop der Fall ist), sondern existieren nur als verschlüsselte Mail und sind somit um einiges sicherer.
Zu guter Letzt natürlich: Bekenntnisse zu Straftaten, wie zum Beispiel Sachbeschädigung durch Aufkleber, gehören nicht auf Facebook. Auch keine Spekulationen darüber, wer das denn wohl gewesen sein könnte. Man mag es nicht glauben, aber auch die Polizei ist dazu in der Lage Facebook zu nutzen. Entsprechend ist es sehr gefährlich und unsolidarisch da sorglos „rumzuposten“. Und alle Bemühungen der Shopbetreiber*Innen Bestelldaten zu schützen sind total den Allerwertesten, wenn Leute nachher auf Facebook ihre Straftaten gestehen, oder noch schlimmer, unbeabsichtigt andere verpetzen. Also passt auf was ihr im Internet macht.
Nichts desto trotz sehen wir einige Möglichkeiten sicher im Internet Material für z.B. die nächste Sticker-Aktion zu bestellen. Eine 100%ige Sicherheit wird es sicherlich nie geben, aber das darf nicht als Anlass genommen werden, um sich seiner Verantwortung als Onlineshopbetreiber*in zu entziehen und zu behaupten man könnte „eh nichts“ machen.
Wir wünschen uns eine (politische) Onlineshopszene, die es sich zur Aufgabe macht Menschen, die bestellen, möglichst gut vor staatlichen und sonstigen Übergriffen zu schützen. Dafür ist gegenseitige Solidarität und das Überwinden von Rivalitätsdenken notwendig.
Für eine Welt ohne Repression, Hierarchie und Ausbeutung,
das Team von Kreaktivisten.org
Ergänzungen
wichtiger punkt für webshopanbieter
ein wichtiger punkt ist die verschlüsselung der daten in einer sicheren form.
viele anbieter speichern ihre daten unverschlüsselt in der datenbank (auf einer unverschlüsselten festplatte).
solche daten sind dann aber immer bei einem hack oder beschlagnahmung der server einsehbar. und einen hack vermeiden ist fast unmöglich. natürlich kann sich so-gut-es-geht abgesichert werden, aber gegen eine zero-day-attacke ist wohl niemand gefeit.
daher sollten solche wichtigen daten immer nur verschlüsselt abgespeichert werden und der schlüssel zum entschlüsseln nicht auf dem server liegen. das macht natürlich web-anwendungen kaputt, welche dir deine daten anzeigen sollen oder sonstwie automatisiert verarbeiten. denn die können auf die einmal verschlüsselten daten ebenfalls nicht mehr zugreifen. (ein plugin für firefox könnte dem abhilfe schaffen)
wem das nicht wichtig ist bzw. wem die sicherheit der daten der mitglieder wichtiger ist kann diese daten direkt mit pgp verschlüsseln. public key liegt auf dem server, private key nicht. da die meisten cms (webshops) mit php arbeiten ist dies auch einfach möglich zu integrieren. die verschlüsselten daten können dann bspw. in einer email abgeschickt werden und von den bestellungsverarbeitenden an einem anderen rechner mit pgp wieder entschlüsselt werden. mit gpg ist das ganze auch noch kostenlos. so können solcherart gespeicherten daten auch nicht bei einer zero-day-attacke nachträglich ausgelesen werden. (gegen neu eingegebene daten nach einer zero-day-attacke hilft das aber nicht, da sich der angreifer vor den verschlüsselungsmechanismus setzen kann)
ein solcherart aufgebautes system kann einen guten kompromiss darstellen oder das gute system (wie oben vorgeschlagen) weiter verbessern in punkto sicherheit.
die devise "so wenig wie möglich, so viel wie nötig", wie sie hier vorgeschlagen wurde, ist aber davon unberührt auf jeden fall das beste prinzip. wie oben genannt - daten, die nicht gespeichert sind können auch nicht abgerufen werden. das ist noch besser als verschlüsselte daten.