PRISM

Was ist PRISM?

PRISM ist ein Überwachungsprogramm der US-amerikanischen National Security Agency (NSA). Es ermöglicht der NSA direkten Zugriff auf die Server großer Internet-Unternehmen wie Google, Facebook, Microsoft und Apple.

Etabliert: 2007
Enthüllt: 2013 durch Edward Snowden
Codename: US-5334
Rechtliche Grundlage: FISA Amendment Act Section 702 (2008)

Was überwacht wird

• E-Mails und Nachrichten
• Gespeicherte Dateien und Fotos
• Video- und Audio-Chats
• Social-Media-Aktivitäten
• Cloud-Speicher-Inhalte

Betroffene Unternehmen

Direkt bestätigt (seit 2013):

• Microsoft (seit 2007) - Outlook, OneDrive, Skype
• Yahoo (seit 2008)
• Google (seit 2009) - Gmail, Drive, YouTube
• Facebook (seit 2009) - Facebook, Instagram, WhatsApp
• Apple (seit 2012) - iCloud, iMessage, FaceTime
• Dropbox (seit 2012)

Vermutet: Amazon (AWS), Twitter/X, LinkedIn

Wie es funktioniert

Die NSA hat spezielle Schnittstellen zu den Unternehmen. Sie kann gezielt nach Nutzern und Inhalten suchen ohne bei jedem einzeln anfragen zu müssen.

Rechtlich: Die NSA legt dem FISA Court ihre Überwachungsprogramme vor - nicht einzelne Zielpersonen. Wenn genehmigt kann sie eigenständig Daten abfragen.

Das FISA Court tagt geheim. Betroffene erfahren nie dass ihre Daten überwacht wurden. Unternehmen dürfen nicht darüber sprechen.

Für wen es gilt

Offiziell: Nur für Nicht-US-Bürger außerhalb der USA.

In der Praxis: Auch Daten von US-Bürgern werden erfasst wenn sie mit Nicht-US-Bürgern kommunizieren.

Auswirkungen

Privatsphäre: Praktisch alle Kommunikationen über US-Dienste können von der NSA eingesehen werden.

Geschäftlich: Europäische Unternehmen die Kundendaten auf US-Servern speichern können nicht garantieren dass diese vor US-Behörden geschützt sind.

Rechtlich: Keine Möglichkeit sich gegen PRISM-Überwachung zu wehren. Man erfährt nicht ob man überwacht wird.

Rechtliche Entwicklung (EU)

• 2015: EuGH kippt Safe Harbor Abkommen
• 2020: EuGH kippt Privacy Shield
• 2023: EU-US Data Privacy Framework (rechtlich umstritten)

Grund: PRISM und andere US-Überwachungsprogramme sind nicht mit EU-Datenschutz vereinbar.

Was kannst du tun?

US-Dienste meiden (Hoch wirksam)

Statt Gmail: Mailbox.org, Posteo, Tutanota (deutsche/europäische Anbieter)
Statt Google Drive: Nextcloud selbst-gehostet
Statt WhatsApp: Signal, Matrix

Einschränkung: Nur wirksam wenn auch deine Kontakte mitmachen.

Ende-zu-Ende-Verschlüsselung (Mittel wirksam)

Signal für Messenger, Tutanota/ProtonMail für E-Mail.

Wichtig: Metadaten (mit wem, wann, wie oft) bleiben sichtbar. Bei WhatsApp liegen Backups unverschlüsselt auf Servern.

Selbst-Hosting (Sehr wirksam)

Eigener Mailserver, eigene Cloud, eigene Website. Server in Deutschland oder anderen vertrauenswürdigen Ländern.

Dragons@work bietet: Migration & Self-Hosting Service

VPN (Gering wirksam)

VPN verschlüsselt nur die Verbindung zu deinem Provider. Sobald Daten auf US-Servern ankommen greift PRISM trotzdem.

Verwandte Programme

• Tempora: GCHQ (UK) zapft Glasfaser-Unterseekabel an
• XKeyscore: NSA-Datenbank aller gesammelten Daten
• Upstream: NSA-Überwachung an Internet-Knotenpunkten

Technische Details

Verschlüsselung: PRISM greift auf Servern zu - dort liegen Daten oft unverschlüsselt. Nur Ende-zu-Ende-Verschlüsselung schützt wirklich.

Metadaten: Selbst bei perfekter Verschlüsselung sieht die NSA IP-Adressen, Zeitstempel, Kommunikationshäufigkeit und Gerät-IDs.